瑞星卡卡安全论坛

8.11发布新变种查杀方法，地址http://forum.ikaka.com/topic.asp?board=28&artid=8351280

这个问题是由一个叫做ghost.pif的U盘病毒导致的

关于分析我在http://hi.baidu.com/newcenturysun/blog/item/b6c822d192f160399a502775.html已经给出

不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使

相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
因为这些安全软件运行时候会加载ws2_32.dll  ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败！

解决方法如下：

1.安全模式下(开机后不断 按F8键    然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目    注册表 删除如下项目
<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll>    [Microsoft Corporation]
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
右键点击 右键菜单中的打开    打开C盘
删除
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容
3.右键点击 右键菜单中的打开    打开其他分区 删除autorun.inf和ghost.pif
打开sreng
启动项目    注册表 删除如下项目
    <wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe>    []
      <ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe>    []
      <mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe>    []
      <fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe>    []
      <jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe>    []
      <wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe>    []
      <wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe>    []
      <rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe>    []
      <wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe>    []
      <tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe>    []
      <dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe>    []
      <wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe>    []
      <qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe>    [] （有哪个删哪个）
4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹

update:最近发现了新的变种 详细分析在
http://hi.baidu.com/newcenturysun/blog/item/ee1c9344b4451a4e510ffe8b.html
如果您按上述解决方法不能解决问题则可参考下面的解决办法：
1.打开sreng
启动项目    注册表 删除如下项目
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> [N/A]
<ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> []
<jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> []
<wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> []
<wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> []
<qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> []
<rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> []
<wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> []
<tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> []
<dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> []
      <{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}><C:\Program Files\Internet Explorer\HiJack.dll> 
[Microsoft Corporation]
      <{0EA12C16-CDEF-6AC1-236E-CD3FE82F5213}><C:\Program Files\Internet Explorer\msvcrt.dll>  [Microsoft Corporation]
系统修复 浏览器加载项 选中
[]
    {D7515C61-A66C-4319-A0E0-D416CB8059E3} <C:\Program Files\Common Files\Relive.dll, Microsoft Corporation>
并单击右下角的删除所选内容 在弹出的对话框中选择 是
2.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\Program Files\Common Files\Relive.dll
C:\Program Files\Internet Explorer\HiJack.bak
C:\Program Files\Internet Explorer\HiJack.dll
C:\Program Files\Internet Explorer\msvcrt.bak
C:\Program Files\Internet Explorer\msvcrt.dll
清空临时文件夹C:\DOCUME~1\用户名\LOCALS~1\Temp
3.删除瑞星 江民 卡巴 360文件夹下的ws2_32.dll
方法：
新建一个记事本文件
输入如下字符

DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1

保存为1.bat文件

将要删除的ws2_32.dll文件或者文件夹，用鼠标左键拖放到1.bat的文件图标上（就像把文件拖到文件夹里的操作一样），一个CMD窗口闪烁之后伪"ws2_32.dll"文件夹就被删除了

sreng下载地址 http://www.kztechs.com/sreng/download.html

6.18增加专杀下载 专杀来自ALPHA'S STUDIO（http://hi.baidu.com/peaset/）
两个专杀 一个是删除病毒文件的
下载地址 http://zhenlove.com.cn/cndos/fileup/files/Win32.Troj.Romdrivers.ka.rar
一个是删除文件夹ws2_32.dll的工具
下载地址 http://zhenlove.com.cn/cndos/fileup/files/anti_ws_1.1.rar

附件: 5543452007616100530.jpg

附图2

附件: 5543452007611190218.jpg

附图3

附件: 5543452007611190231.jpg

romdrivers.bak
这2个文件
我无法删除啊!
怎么办?
谢谢了

安全模式 肯定可以删除 先把启动项删除 然后重启 安全模式删除文件

引用:

【jkzy的贴子】romdrivers.bak 这2个文件 我无法删除啊! 怎么办? 谢谢了 ………………

安全模式也删不掉可用冰刃删。
http://www.ttian.net/website/2005/0829/391.html

我没遇到过！

我们这里一般电脑中标 谢谢楼主

这个东西好象不新了啊.至少三天前,我就拿到样本了.
可惜忙于论文答辩,没时间细致的玩
不过这东西的传播性确实不小

正好我想发一个对付ws2_32.DLL的帖子,没想到在这里都已经发了

找不到romdrivor

非常感谢！我的问题解决了，谢谢

呵呵...没碰到过这种情况..

学习..

找不到romdrivor
我的电脑里没这个文件呀........
折腾了一上午了,,  谁知道怎么解决呀?谢谢

ghost.pif好象对卡巴7。0不起作用，我昨天在卡巴7。0和SREN下将此毒清了，（要申明的是：我绝对不是什么卡巴枪手）当时我还不知道ghost.pif会在这置顶。

好是好了!但是瑞星不会自己启动!手动又开不了咋办啊!教教我!谢谢

看了

引用:

【newcenturymoon的贴子】附图3 ………………

newcenturymoon大大，你这个反汇编（？）的工具叫什么哦，感兴趣……

我瑞星和360都可以打开,但是运行其他等程序的时候就会出现这个提示按楼主方法找不到那个文件,瑞星查了也没有毒啊.怎么回事啊.楼主帮帮我好吗

楼主的方法很好，学习一下。

附件: 8198032007612231238.jpg

瑞星到底行不行?杀毒老是要我手工来出来,系统搞啦千百边,

手工能够提高杀毒水平，那个病毒虽然没怎么遇到，但看到过很多类似的帖子，学习了，以防不测

楼主写的很详细.学习了

我的瑞星目录下没有那个文件，IE文件夹里也没有楼主说的那几个文件，用SREng看也没有那个注册表项，这种情况下该怎么解决啊？

55555555555~~~~~~~~~~~~~~~~~~~~~~

楼主你太有才了,学习…………

谢谢楼主，但是有预防的办法吗？

太复杂了吧，能不能搞个专清工具，俺也中招了，每次重启电脑都会重新出现WS2_32.DLL，
真烦。

楼主真是天才，不过我电脑的问题是解决了不果这个romdrivers.dll还是删不掉

在分区中找不到autorun.inf和ghost.pif，虽删除了其他文件，最终重启后问题依旧，求助高手如何解决。另外，最新升级的瑞星杀毒软件对此无效，十分无奈。

为什么不赶紧解决掉？老让大家手杀，那花钱买瑞星干什么？