瑞星卡卡安全论坛

此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（移动存储）设备就双击，导致病毒十分容易的通过U盘传播。
关于此类U盘病毒的防范方法见第4楼

此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后，在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。


本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  []
    <DiskMan32><C:\WINDOWS\kterzx.exe>  []
    <WinForm><C:\WINDOWS\WinForm.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <NVDispDrv><C:\WINDOWS\kterzx.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
  <C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\AVPSrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\system32\MsIMMs32.dll]  [N/A, ]
    [C:\WINDOWS\system32\WinForm.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\E2050308.DLL]  [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe


查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序”  之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)


附件: 554345200792164724.jpg

然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）



附件: 554345200792164822.jpg

在左边的资源管理器中打开C盘（系统盘）

附件: 554345200792164929.jpg

删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目  注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  []
    <DiskMan32><C:\WINDOWS\kterzx.exe>  []
    <WinForm><C:\WINDOWS\WinForm.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <NVDispDrv><C:\WINDOWS\kterzx.exe>  []
    <msccrt><C:\WINDOWS\msccrt.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll

最后需要修复或者重装瑞星杀毒软件，并一定修改你的网络游戏密码。

另外此病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种东西下载的木马很多，看日志眼都会花的）

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2.锁住某些注册表权限
开始－运行－输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器：http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法！！！
最安全的打开U盘方式如下
打开我的电脑  点击菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方法)

学习了，谢谢！！！！！！！！！！！

斑竹能否发个样本给我?
EMAIL:9ipc.net@163.com

看到新鲜的了 鼎下先

学习  感觉这个病毒清除还简单 没这个(***pri.dll)BT

这段时间优盘病毒闹的欢，支持版主发贴!

顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶

防御

附件: 60046200792221949.jpg

引用:

【hotboy的贴子】防御 ………………

是啊，TOM2000的观点一直没有得到多数人的响应，也包括我，原因可能是主动防御功能对一般人而言还是难了点……
版主的帖子可操作性很强，收藏了……

引用:

【超级游戏迷的贴子】 是啊，TOM2000的观点一直没有得到多数人的响应，也包括我，原因可能是主动防御功能对一般人而言还是难了点…… 版主的帖子可操作性很强，收藏了…… ………………

hips难么？我还真没感觉到，真的，我倒是觉得杀毒比较繁琐，对一般用户更难。

引用:

【hotboy的贴子】 hips难么？我还真没感觉到，真的，我倒是觉得杀毒比较繁琐，对一般用户更难。 ………………

这个倒是,可对于一般用户两者都难.

已检测: 风险软件 Hidden install 运行进程: D:\Program Files\EMULE\INCOMING\中国国家地理网络互动杂志第1期.exe
已检测: 风险软件 Invader 运行进程: C:\WINDOWS\System32\Rundll32.exe
已检测: 风险软件 Invader 运行进程: C:\WINDOWS\System32\RUNDLL32.EXE
已检测: 风险软件 Invader 运行进程: C:\WINDOWS\system32\Rundll32.exe
计算机重启后删除: 木马程序 Trojan-Downloader.Win32.Agent.cmo 文件: C:\WINDOWS\system32\rpyghrqx.dll
已删除: 木马程序 Trojan-Downloader.Win32.Agent.cmo 文件: c:\windows\system32\drivers\vkoyw9st.sys
计算机重启后删除: 木马程序 Trojan-Downloader.Win32.Agent.cmo 文件: c:\windows\system32\drivers\wrh3oww.sys


我这个也是楼主所说的变种吗？

版主可不可以发个样本给我啊?
谢谢~~

学习下先~~~~

谢谢!!!

我也要个病毒样本，请版主发了一个给我，我的邮箱：tan2000tan@21cn.com

刚来就看到这么好帖子，顶你上台

该用户帖子内容已被屏蔽

斑竹，我弄了三天了，杀完重起后就出现了，我觉得你说的很对，但是我是一个新手，对电脑一窍不通，能不能给我发个样本呀，我是专门上来找解决的办法的，我都要格式化机器了，可是还有好多东西再上面，我都要哭了，昨晚上一夜没有睡．先说谢谢了，我的油箱是quandongwei@hotmail.com

还有，我还原机器都不管用，我的ＱＱ是738748922谢谢了！！

那位大哥帮我看看~~~~我的求助    帮忙分析下````
第一个帖子就是我发的  我太无助了
会的去帮忙分析下````分析坏了我就从做系统```没关系的``
不会分析的去学习下高手们的分析```就是不想让更多的人和我一样`````郁闷中````

斑竹英明，我已经按照你所教的把上面的病毒杀掉了，可是现在开机后就出现这种病毒《《Trojan.PSW.Win32.OnlineGames.yfp》》，非常痛苦，请斑竹指条明路，谢谢了！！我的邮箱是quandongwei@hotmail.com.

我的网内也有过一阵子,现又被ARP病毒烦死了

病毒生成物特点：
在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程（瑞星报的就是这个dll）
以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

彩色字体的 部分看不大 明白 麻烦能详细 说下 啊

就是不知道用什么工具 并且如何分析呀

按楼主所说杀了一遍，有所好转就是双击盘符时没有提示了（之前有是否阻止恶意代码的提示），但盘下的那两个文件都还在。而且这两天瑞星查出的病毒更多了。

对了，auto.exe病毒，格C盘可以彻底清除吗？不会要全盘格吧。