【分享】常见病毒资料及清除方法 bbs.ikaka.com

绘梦银月 - 2007-8-26 1:31:00

本文介绍Trojan.PSW.OnlineGames病毒资料及清除方法。

　　
【病毒分析】：
病毒使用Delphi编写，并且使用UPX加壳，病毒运行后有以下行为：
1、将自己复制到%WINDIR%目录下，文件名为"exxplorer.exe"。
2、修改以下注册表键值以达到其自启动的目的：
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加数据项："exxplorer"??? 数据值为："%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
增加数据项："exxplorer"??? 数据值为："%WINDIR%\EXXPLORER.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改数据项："Shell"??????? 修改后的数据值为："Explorer.exe %WINDIR%\EXXPLORER.EXE"
3、修改系统文件"SYSTEM.INI"以下数据项，以达到其自启动的目的。
4、搜索当前系统是否有名为"exxplorer"的窗体，如果有，病毒则退出。病毒通过这种方式来确保系统中只有一个病毒文件在运行。
5、结束某些反病毒软件的进程。
6、记录本地计算机的系统信息以及游戏"传奇世界"的帐号、密码、服务器地址、所属区域等信息，并写入注册表"HKEY_CLASSES_ROOT\woool"键下。
7、将窃取的信息发送到指定的邮箱内。

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; InfoPath.2)

流星陨落 - 2007-8-26 1:35:00

本文介绍Trojan.Mnless病毒资料及清除方法。

　　
【病毒分析】：
该病毒用delphi语言编写，并且使用UPX加壳，具有以下行为
1、病毒首先会把自己复制到C:\Program Files\Internet Explorer\IEXPLORE.New同时生成一个Dll1文件IEXPLORE.win
2、病毒把IEXPLORE.win文件插入到Explore进程中保护自己，
3、病毒在注册表中中加入
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，在激活一个Shell事件时启动病毒。
4、病毒会从http://www.qqkx.com/cp/CPOpen.txt和http://www.qqkx.com/cp/CPDown.txt网站上下载并运行病毒。

【清除方法】：
1、进入注册表删除掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表项。重启电脑。进入C:\Program Files\Internet Explorer文件夹，删除下面这两个文件:
IEXPLORE.New与IEXPLORE.win文件.

2、打开瑞星杀毒软件升级到最新版本，然后断开网络全盘查杀。

流星陨落 - 2007-8-26 1:35:00

本文介绍Trojan.DL.IeFrame病毒资料及清除方法。

　　
【病毒分析】：
该病毒为下载型病毒，具有以下行为：
1、病毒运行后会自动连接其指定的恶意网站
2、被病毒打开的恶意网站会利用IE漏洞下载其他类型的病毒并将它们运行。

【清除方法】：
1、将操作系统的补丁安装完全。
2、打开瑞星杀毒软件升级到最新版本，然后断开网络全盘查杀。

流星陨落 - 2007-8-26 1:35:00

本文介绍Worm.Win32.Agent病毒资料及清除方法。

　　
【病毒分析】：
该病毒使用DELPHI编写，具有以下行为：
1、病毒启动后，会将自己复制到系统目录下，并修改文件属性为系统和隐藏。
2、病毒运行后的两个进程分别互相守护，防止被结束进程。
3、随后病毒会启动几个线程，进行修改注册表项，修改系统时间，暴利复制病毒文件到系统目录下，远程下载病毒等操作。

【清除方法】：
1、使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。
2、将系统时间修改为正常的时间。

流星陨落 - 2007-8-26 1:36:00

本文介绍Worm.Viking.is病毒资料及清除方法。

　　
【病毒分析】：
1、病毒运行后首先会结束杀毒软件的服务项，导致杀毒软件的无法使用。
2、病毒会在Windows路径下建立一个名为uninstall的文件夹，把自己复制到该文件夹下；
3、病毒在Windows路径下释放动态库RichDll.dll，该动态库遍历进程，查找进程中是否存在iexplorer.exe进程，有则把动态库注入到该进程中，如果没有则找到进程中的explorer.exe进程把动态库注入到该进程中，实现下载功能。
4、病毒添加以下注册表项实现开机自启动：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "load"=C:\WINNT\uninstall\rundl132.exe
5、病毒实现感染功能：感染盘符从Z到C的所有“本地磁盘”，使用FindFirstFileA与FindNextFileA遍历文件；当发现后缀名为.exe的文件时，使用CreateFile打开要感染的文件，读入内存，建立名为“原文件全名.Exe”的文件；使用ReadFileA与WriteFileA把病毒本身写在“原文件全名.Exe”文件中；通过SetFilePointer把文件指针设在文件最后，把原正常文件加入到“原文件全名.Exe”文件的尾部；通过DelFile删除原正常文件；使用MoveFile修改文件名“原文件全名.Exe”为“原全名”。

【清除方法】：
1、断开网络，使用威金病毒专杀工具全盘查杀。
2、重启计算机，升级杀毒软件到最新版本全盘查杀。

流星陨落 - 2007-8-26 1:36:00

本文介绍Trojan.PSW.QQpass病毒资料及清除方法。

　　
【病毒分析】：
该病毒为盗取QQ密码的木马病毒，病毒运行后有以下行为：

1、病毒建立一个名为“我是菜鸟我怕谁”的互斥量，以保证内存中只有一个复本在运行。
2、病毒将自己复制到%WIND0OWS%下，并取名为LoveQQ.exe。
3、在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立数据项"SysDeskqqfx = %WINDOWS%\LoveQQ.exe" ，实现开机自动运行。
4、病毒设置了定时器，每隔一段时间，就会寻找窗口标题为"任务管理器"、"软键盘"、"QQ号码"、"服务器"的窗口。如果发现有"任务管理器"存在，则结束它；如果发现和QQ的这些窗口存在，这取得文本框中的密码。
5、将获得的QQ号和其密码发送到木马散播者设置电子邮箱或通过HTTP方式提交到特定的URL。

【清除方法】：
将瑞星杀毒软件升级到最新版本，在断开网络的情况下全盘查杀。

流星陨落 - 2007-8-26 1:39:00

本文介绍Dropper.Win32.Agent.bd病毒资料及清除方法。

　　
【病毒分析】：
该病毒具有以下行为：
1、病毒运行后会在System32路径下释放一个动态库文件，在Windows路径下释放一个EXE文件。
2、病毒会添加注册表启动项
?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADIDown Power Adapter = (ImagePath)C:\WINNT\svchost.exe
3、EXE文件用来盗取网络游戏仙境的密码，动态库为另外一个盗取密码的病毒。

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。

流星陨落 - 2007-8-26 1:39:00

本文介绍Backdoor.Win32.Agent.luc病毒资料及清除方法。

　　
【病毒分析】：
该病毒具有以下行为：
1、病毒运行后将自己复制到下列路径：
%WINDOWS%\SYSTEM\CMPKU.EXE
%WINDOWS%\MAPSERVER.EXE
%WINDOWS%\SYSTEM\MAINSV.EXE
2、病毒在注册表中添加下列启动项实现自启动：
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
?"Cmpnt" = %WINDOWS%\SYSTEM\CMPKU.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
?"Ntcheck" = %WINDOWS%\MAPSERVER.EXE
??? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
?"Shell" = %WINDOWS%\SYSTEM\MAINSV.EXE
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
?"Cmpnt" = %WINDOWS%\SYSTEM\MAINSV.EXE
3、病毒还修改注册表下列键值的实现"不显示隐藏文件"、"隐藏已知扩展名"
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced?
??????? "HideFileExt" = 0x1
??? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
??????? "Hidden" = 0x0
4、病毒在后台隐藏运行,接收网络中发送的请求并且执行下列请求对应的动作
1.获取中毒计算机中的目录信息,
2.获取中毒计算机中的文件信息,
3.删除中毒计算机中的文件
4.执行中毒计算机中的文件
5.关闭中毒计算机
6.注销中毒计算机
7.修改中毒计算机中的文件属性
8.获取中毒计算机的IP地址等等.

【清除方法】：
使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。

流星陨落 - 2007-8-26 1:40:00

本文提供Adware.Winsdup.d病毒资料以及清除方法。

　　
【病毒分析】：
该病毒使用VC6编写，属于广告类病毒，该病毒具有以下行为：
1、生成文件:
病毒运行后建立路径"%ProgramFiles%\winp",并在此路径释放如下文件：
code.dll；lexi.lex；play.dll；snet.dll；stdi.ini；stdl.ini；stub.dll；upiilex.ini；upme.ini；vote.dll
2、新建注册表信息：
HKLM\System\CurrentControlSet\Services\svcs = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
HKLM\System\CurrentControlSet\Services\svcs\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子键
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718} = 新建子键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\DisplayName = "Windows svcs UnInstall"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒尝试连接如下网址，并下载文件
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根据下载的文件中的信息，弹出IE显示指定的广告网页或进行点击

【清除方法】：
1、将瑞星卡卡上网安全助手升级到最新版本，进行恶意及流氓软件清理。
2、将瑞星杀毒软件升级到最新版本，全盘查杀。

流星陨落 - 2007-8-27 0:24:00

大猩猩病毒Win32/DaXingXing.a解决方案

大猩猩病毒是一个采用易语言编写的文件型病毒，病毒运行后，创建病毒进程winfuckjp.exe ，该进程采用RootKit技术隐藏自身，用Windows自带的任务管理器察看不到。

删除C:\windows\System32\winfuckjp.exe

删除注册表项值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe

重置hosts文件，解决无法访问杀毒软件主页

病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe，同样删除

此病毒会破坏系统，阻止进入安全模式，所以用Administrator账户登陆，还原注册表，再执行以上操作，并且重新安装被病毒破坏的应用程序

流星陨落 - 2007-9-4 3:00:00

S168.EXE病毒资料以及清除方法

处理这个病毒比较棘手。
原因在于多个DLL插入应用程序进程。若强制卸除Explorer.EXE进程中的病毒模块，易导致系统假死，难以进行后续杀毒操作。
此外，这个病毒关闭瑞星所有监控，任务栏中的瑞星图标消失；病毒还在瑞星安装目录下建立名为WS2_32.dll的畸形文件夹，导致瑞星杀软不能正常加载运行。
中毒后，SRENG日志可见下列异常：
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5c7596cb-51CC-5bA3-be52-6eea62f9c51c}><C:\Program Files\Common Files\goskdl.dll>
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\windows\system32\mhdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\windows\system32\wodoor0.dll> []
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\windows\system32\ztdoor0.dll> []
<{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\windows\system32\jtdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\windows\system32\wldoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\windows\system32\wgdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\windows\system32\dadoor0.dll> []
正在运行的进程
[PID: 1036][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\Program Files\Internet Explorer\rksldk.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[PID: 2404][C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe] [Cyberlink, 5.00.1524]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[PID: 2460][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[PID: 3632][C:\Documents and Settings\Lenovo\桌面\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
[C:\windows\system32\mhdoor0.dll] [N/A, ]
[C:\windows\system32\wodoor0.dll] [N/A, ]
[C:\windows\system32\jtdoor0.dll] [N/A, ]
[C:\windows\system32\wldoor0.dll] [N/A, ]
[C:\windows\system32\wgdoor0.dll] [N/A, ]
[C:\windows\system32\dadoor0.dll] [N/A, ]
[C:\windows\system32\ztdoor0.dll] [N/A, ]

我的杀毒流程：
1、将下列DLL录入SSM规则，禁止其加载运行：
C:\windows\system32\mhdoor0.dll
C:\windows\system32\wodoor0.dll
C:\windows\system32\jtdoor0.dll
C:\windows\system32\wldoor0.dll
C:\windows\system32\wgdoor0.dll
C:\windows\system32\dadoor0.dll
C:\windows\system32\ztdoor0.dll
2、重启后删除SRENG日志所见的病毒启动项。
3、删除病毒文件。
注：
（1）C:\Program Files\Common Files\goskdl.dll这个病毒文件比较特殊——须改名后才能删除。
（2）瑞星安装目录下的WS2_32.dll畸形文件夹须用IceSword强制删除。

此外，还要删除下列注册表内容（均为病毒添加）：
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ReliveHookDLL
HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}
HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}
HKEY_CLASSES_ROOT\CLSID\{5C7596CB-51CC-5BA3-BE52-6EEA62F9C51C}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-4C6B-A856-638D-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-638D-4C6B-A856-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{D8CC4845-441C-44F8-9053-28F2EF67655B}
HKEY_CLASSES_ROOT\CLSID\{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-49C2-BBCA-35B7-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}

流星陨落 - 2007-9-21 16:43:00

auto.exe杀毒方法

用置顶帖软件删除下列病毒文件：
c:\windows\igm.exe
c:\windows\system32\e033a44c.dll
c:\windows\system32\lymangr.dll
c:\windows\system32\avpsrv.dll
c:\windows\system32\cmdbcs.dll
c:\windows\system32\dbghlp32.dll
c:\windows\system32\diskman32.dll
c:\windows\system32\kvsc3.dll
c:\windows\system32\mppds.dll
c:\windows\system32\msccrt.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\nvdispdrv.dll
c:\windows\system32\shqmangr.dll
c:\windows\system32\upxdnd.dll
c:\windows\msccrt.exe
c:\windows\dbghlp32.exe
c:\windows\nvdispdrv.exe
c:\windows\cmdbcs.exe
c:\windows\upxdnd.exe
c:\windows\msimms32.exe
c:\windows\mppds.exe
c:\windows\avpsrv.exe
c:\windows\diskman32.exe
c:\windows\kvsc3.exe
c:\windows\system32\d7dbde7a.exe

打开注册表，删除以下项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDQG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDHG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDMG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDSG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDOG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDCG32 "=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDWG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDEG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"msccrt"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DbgHlp32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NVDispDrv"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSysM"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"upxdnd"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MsIMMs32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"mppds"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AVPSrv"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DiskMan32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kvsc3"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Kvsc3"=-

禁用以下服务，并删除服务对应的文件
[9899C26C / 9899C26C] <C:\WINDOWS\system32\D7DBDE7A.EXE -k>

删除每个盘下的auto.exe和autorun.inf

使用卡卡助手隐私保护+系统优化，清理系统，并用最新版本瑞星全盘杀毒

流星陨落 - 2007-9-25 12:41:00

MSN病毒－Backdoor.Win32.IRCbot.Bcg

2007年7月30日下午，瑞星全球反病毒监测网截获一个快速传播的MSN病毒，并命名为“IRC波特变种BCG（Backdoor.Win32.IRCbot.Bcg）”病毒。该病毒侵入用户电脑后，会向MSN好友大量发送垃圾信息和病毒文件。

　　
病毒资料

病毒运行后释放出一个libcintles3.dll并注入到EXPLORER.EXE进程中，该DLL文件被加载后每隔4秒去连接IRC服务器，直至连接成功后，病毒会根据当前运行的系统环境，自动生成对话并发送。同时该病毒还会从病毒服务器上下载更新的病毒体到本地运行。

此外，该DLL文件还会查找系统目录下是否有MSN.exe的病毒体本身，如果有的话就根据当前日期生成一个包含病毒体本身的ZIP文件，例如photos2007_43.zip，将该文件帖入MSN，进行传播。

根据瑞星技术部门分析，该病毒会向好友发送：“NI HE WO !!! .... QING KAN :p（你和我！请看）”、“JIE SHOU WO DE ZHAO PIAN :o !!（接收我的照片！）”等汉语拼音版本的诱惑性信息，随后会试图发送一个以“photo”、“picture”等名称开头的压缩文件，用户接收运行后就会中毒。该病毒除了滥发MSN消息和病毒邮件外，还具有后门功能。感染此病毒的计算机会变成僵尸计算机，可被黑客远程控制。

解决方案：

1、将瑞星杀毒软件升级到19.34.02及以上版本，在断网的情况下全盘查杀。

2、为了防范此类病毒，请不要随便打开通过QQ、MSN等即时通信工具发来的文件以及网站链接。

流星陨落 - 2007-9-29 21:42:00

PegeFile.pif以及bpvrgut.exe病毒清除方法

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\TIQRPEP.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\TIQRPEP.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SCVHOST.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SCVHOST.EXE
C:\PROGRAM FILES\COMMON FILES\SYSTEM\YIFDEML.EXE
C:\PROGRAM FILES\COMMON FILES\SYSTEM\YIFDEML.EXE
C:\PROGRAM FILES\THUNDER\PROGRAM\THUNDER5.EXE
c:\program files\internet explorer\plugins\winsys84.sys
c:\program files\internet explorer\plugins\newtemp.dll
c:\windows\system32\drivers\scvhost.exe
c:\program files\common files\system\yifdeml.exe
c:\windows\system32\sidjazy.dll
avwlbmn.dll
lyloadqr.exe
lyloadhr.exe
lyloadmr.exe
lyloadar.exe
lyloador.exe
lyleador.exe
lyloadbr.exe
lyloader.exe
c:\windows\system32\drivers\svchost.exe
c:\windows\avpsrv.exe
c:\docume~1\admini~1\locals~1\temp\a17.exe
c:\windows\msimms32.exe
c:\windows\upxdnd.exe
c:\program files\common files\microsoft shared\tiqrpep.exe
%systemroot%\svchont.exe
%systemroot%\winnt.exe
%systemroot%\winadr.exe
%systemroot%\sourro.exe
%systemroot%\intent.exe
%systemroot%\winlogor.exe
%systemroot%\winrar.exe
c:\windows\system32a2.sys
c:\windows\\systemroot\system32\drivers\kimejg.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys>
[{0EA66AD2-CF26-2E23-532B-B292E22F3266}] <C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>
注意该项[AppInit_DLLs]修改：把<avwlbmn.dll>修改为<>即清空
[MSDQG32] <LYLoadqr.exe>
[MSDHG32] <LYLoadhr.exe>
[MSDMG32] <LYLoadmr.exe>
[MSDSG32] <LYLoadar.exe>
[MSDOG32] <LYLoador.exe>
[MSDCG32 ] <LYLeador.exe>
[MSDWG32] <LYLoadbr.exe>
[MSDEG32] <LYLoader.exe>
[KVP] <C:\WINDOWS\system32\drivers\svchost.exe>
[AVPSrv] <C:\WINDOWS\AVPSrv.exe>
[Intel Chipset Monitor] <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\a17.exe>
[MsIMMs32] <C:\WINDOWS\MsIMMs32.exe>
[upxdnd] <C:\WINDOWS\upxdnd.exe>
[ucnqltm] <C:\Program Files\Common Files\System\yifdeml.exe>
[bpvrgut] <C:\Program Files\Common Files\Microsoft Shared\tiqrpep.exe>
[aa] <%SystemRoot%\SVchont.exe>
[rx] <%SystemRoot%\winnt.exe>
[zx] <%SystemRoot%\winadr.exe>
[mm] <%SystemRoot%\sourro.exe>
[wl] <%SystemRoot%\intent.exe>
[wm] <%SystemRoot%\winlogor.exe>
PegeFile.pif
bpvrgut.exe

启动项目－－服务－－驱动程序之如下项删除：
[R2A / R2A] <\??\C:\WINDOWS\system32a2.sys>
[kimejg / kimejg] <\SystemRoot\\SystemRoot\System32\drivers\kimejg.sys>

删除以下注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDQG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDHG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDMG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDSG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDOG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDCG32 "=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDWG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MSDEG32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"KVP"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AVPSrv"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel Chipset Monitor"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MsIMMs32"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"upxdnd"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ucnqltm"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"bpvrgut"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"aa"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"rx"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"zx"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"mm"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wl"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wm"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"w"=-

禁用以下启动项
R2A
kimejg

修复映像劫持，重置hosts文件，清除每个盘下的auto木马

流星陨落 - 2007-10-7 11:53:00

我的照片.EXE解决方案

启动项目－－注册表之如下项删除：
[{8DFA2904-9664-43AE-8929-4347554D24B6}] <C:\WINDOWS\system32\csavpw0.dll>
[{E3F426F6-8634-42A5-A29E-BC694A88FB7D}] <C:\WINDOWS\system32\xyupri0.dll>
[{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}] <C:\Program Files\Internet Explorer\Info_Ms.Sys>
[{2D561258-45F3-A451-F908-A258458226D2}] <C:\WINDOWS\system32\kvdxsbma.dll>
[{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\WINDOWS\system32\kafyezy.dll>
[{2A321487-4977-D98A-C8D5-6488257545A2}] <C:\WINDOWS\system32\kapjbzy.dll>
[{28907901-1416-3389-9981-372178569982}] <C:\WINDOWS\system32\kawdbzy.dll>
[{18847374-8323-FADC-B443-4732ABCD3781}] <C:\WINDOWS\system32\sidjazy.dll>
[{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\WINDOWS\system32\avzxdmn.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:\WINDOWS\system32\ratbfpi.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\WINDOWS\system32\kvdxcma.dll>
[{57D81718-1314-5200-2597-587901018075}] <C:\WINDOWS\system32\kaqhezy.dll>
[{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\WINDOWS\system32\rsztcpm.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\WINDOWS\system32\avwlbmn.dll>
[{2598FF45-DA60-F48A-BC43-10AC47853D52}] <C:\WINDOWS\system32\rarjbpi.dll>
[{A393C2CF-1C26-4309-9765-13B7FDC0F200}] <C:\WINDOWS\system32\mypern0.dll>
[{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys>
注意该项[AppInit_DLLs]修改：把<avzxdmn.dll>修改为<>即清空

用XDelBox删除以下文件
c:\program files\internet explorer\info_ms.sys
c:\program files\internet explorer\plugins\winsys84.sys
c:\windows\system32\avwlbmn.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\csavpw0.dll
c:\windows\system32\hgfs.dll
c:\windows\system32\kafyezy.dll
c:\windows\system32\kapjbzy.dll
c:\windows\system32\kaqhezy.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvdxsbma.dll
c:\windows\system32\msvcr71.dll
c:\windows\system32\mypern0.dll
c:\windows\system32\rarjbpi.dll
c:\windows\system32\ratbfpi.dll
c:\windows\system32\rsztcpm.dll
c:\windows\system32\sidjazy.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\mfc71.dll
c:\windows\system32\msvcp71.dll
avzxdmn.dll

瑞星卡卡安全论坛