瑞星卡卡安全论坛

瑞星今天最新病毒库尚不能发现此毒。
处理这个病毒比较棘手。
原因在于多个DLL插入应用程序进程。若强制卸除Explorer.EXE进程中的病毒模块，易导致系统假死，难以进行后续杀毒操作。
此外，这个病毒关闭瑞星所有监控，任务栏中的瑞星图标消失；病毒还在瑞星安装目录下建立名为WS2_32.dll的畸形文件夹，导致瑞星杀软不能正常加载运行。
中毒后，SRENG日志可见下列异常：
注册表
启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{5c7596cb-51CC-5bA3-be52-6eea62f9c51c}><C:\Program Files\Common Files\goskdl.dll>
    <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>  [Microsoft Corporation]
    <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\windows\system32\mhdoor0.dll>  []
    <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\windows\system32\wodoor0.dll>  []
    <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\windows\system32\ztdoor0.dll>  []
    <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\windows\system32\jtdoor0.dll>  []
    <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\windows\system32\wldoor0.dll>  []
    <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\windows\system32\wgdoor0.dll>  []
    <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\windows\system32\dadoor0.dll>  []
正在运行的进程
[PID: 1036][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\Program Files\Internet Explorer\rksldk.dll]  [Microsoft Corporation, 1. 0. 0. 1]
    [C:\windows\system32\mhdoor0.dll]  [N/A, ]
    [C:\windows\system32\wodoor0.dll]  [N/A, ]
    [C:\windows\system32\ztdoor0.dll]  [N/A, ]
    [C:\windows\system32\jtdoor0.dll]  [N/A, ]
    [C:\windows\system32\wldoor0.dll]  [N/A, ]
    [C:\windows\system32\wgdoor0.dll]  [N/A, ]
    [C:\windows\system32\dadoor0.dll]  [N/A, ]
[PID: 2404][C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe]  [Cyberlink, 5.00.1524]
    [C:\windows\system32\mhdoor0.dll]  [N/A, ]
    [C:\windows\system32\wodoor0.dll]  [N/A, ]
    [C:\windows\system32\jtdoor0.dll]  [N/A, ]
    [C:\windows\system32\wldoor0.dll]  [N/A, ]
    [C:\windows\system32\wgdoor0.dll]  [N/A, ]
    [C:\windows\system32\dadoor0.dll]  [N/A, ]
    [C:\windows\system32\ztdoor0.dll]  [N/A, ]
[PID: 2460][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\dadoor0.dll]  [N/A, ]
    [C:\windows\system32\wgdoor0.dll]  [N/A, ]
    [C:\windows\system32\wldoor0.dll]  [N/A, ]
    [C:\windows\system32\jtdoor0.dll]  [N/A, ]
    [C:\windows\system32\ztdoor0.dll]  [N/A, ]
    [C:\windows\system32\wodoor0.dll]  [N/A, ]
    [C:\windows\system32\mhdoor0.dll]  [N/A, ]
[PID: 3632][C:\Documents and Settings\Lenovo\桌面\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [C:\windows\system32\mhdoor0.dll]  [N/A, ]
    [C:\windows\system32\wodoor0.dll]  [N/A, ]
    [C:\windows\system32\jtdoor0.dll]  [N/A, ]
    [C:\windows\system32\wldoor0.dll]  [N/A, ]
    [C:\windows\system32\wgdoor0.dll]  [N/A, ]
    [C:\windows\system32\dadoor0.dll]  [N/A, ]
    [C:\windows\system32\ztdoor0.dll]  [N/A, ]

我的杀毒流程：
1、将下列DLL录入SSM规则，禁止其加载运行：
    C:\windows\system32\mhdoor0.dll
    C:\windows\system32\wodoor0.dll
    C:\windows\system32\jtdoor0.dll
    C:\windows\system32\wldoor0.dll
    C:\windows\system32\wgdoor0.dll
    C:\windows\system32\dadoor0.dll
    C:\windows\system32\ztdoor0.dll
2、重启后删除SRENG日志所见的病毒启动项。
3、删除病毒文件（见附图）。
注：
（1）C:\Program Files\Common Files\goskdl.dll这个病毒文件比较特殊——须改名后才能删除。
（2）瑞星安装目录下的WS2_32.dll畸形文件夹须用IceSword强制删除。

此外，还要删除下列注册表内容（均为病毒添加）：
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ReliveHookDLL
HKEY_CLASSES_ROOT\CLSID\{3422FB0F-95EB-458A-8B56-39552017A4EF}
HKEY_CLASSES_ROOT\CLSID\{5731EA1D-4DE9-BDDA-6AAF-7B390A75B286}
HKEY_CLASSES_ROOT\CLSID\{5C7596CB-51CC-5BA3-BE52-6EEA62F9C51C}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-4C4B-A6B5-E136-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{71046DD5-E136-4C4B-A6B5-91C30CB15291}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-4C6B-A856-638D-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{A3C95A74-638D-4C6B-A856-4B27664A7F47}
HKEY_CLASSES_ROOT\CLSID\{D8CC4845-441C-44F8-9053-28F2EF67655B}
HKEY_CLASSES_ROOT\CLSID\{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E03C23BD-49C2-BBCA-35B7-6D8CEC2507E3}
HKEY_CLASSES_ROOT\CLSID\{E952B8F8-4EDD-851C-D91A-EE1A0F944469}

[用户系统信息]Opera/9.23 (Windows NT 5.1; U; zh-cn)


附件: 155847200793183905.jpg

newcenturymoon 发的http://forum.ikaka.com/topic.asp?board=28&artid=8351280好像差不多,方法也可以删除这个变种吧.

这病毒够BT，是冲着瑞星来的。

猫叔来个样本      hou2298@yahoo.com.cn

学习一下。

又是这个病毒``

=.=

作者相当敬业``木马群不断更新

好猛~~
向版主学习了~

学习拉~~~~~

和newcenturymoon 大虾发的http://forum.ikaka.com/topic.asp?board=28&artid=8351280一样，只是处理方法不同，猫叔能发些如：小浩病毒清除方法等，不要让它如此狂妄，危害网民。现在种了就无得救，真汗！！！！

学习了...偶尔上来看看还是能学到些东西....

俺也中过这个,没法子重装系统了!!
早点看到就好了

那位大哥帮我看看~~~~我的求助    帮忙分析下````
第一个帖子就是我发的  我太无助了
会的去帮忙分析下````分析坏了我就从做系统```没关系的``
不会分析的去学习下高手们的分析```就是不想让更多的人和我一样`````郁闷中````

现在才想起来问问猫猫！！！！

这类病毒的文件的启动禁止，用现在的2008的瑞星的主动防御，可以禁止掉吗？？？

估计中了后，2008的瑞星的程序都已不能启动了吧？？？

【回复“天月来了”的帖子】
我没参加2008测试

引用:

【baohe的贴子】【回复“天月来了”的帖子】 我没参加2008测试 ………………

那就等明年大范围使用后，再静观其变吧。

太厉害了。

引用:

【天月来了的贴子】现在才想起来问问猫猫！！！！ 这类病毒的文件的启动禁止，用现在的2008的瑞星的主动防御，可以禁止掉吗？？？ 估计中了后，2008的瑞星的程序都已不能启动了吧？？？ ………………

这个病毒2008可以防御，只是更新太勤快了，一直勤快了快2个月了，07一直跟不上他的速度……

引用:

【流星陨落的贴子】 这个病毒2008可以防御，只是更新太勤快了，一直勤快了快2个月了，07一直跟不上他的速度…… ………………

我只是想知道在已中毒的系统里，还能不能安装运行2008的瑞星。

如果还能安装运行2008的瑞星，那么再用瑞星的主动防御禁止猫猫所说的所有病毒文件的启动加载，不知道效果怎么样。

估计不如SSM

尤其是这个：C:\Program Files\Common Files\goskdl.dll

不知用瑞星2008的主动防御能不能禁止掉呢。

系统假死 是什么样的 状态 ？？

不知道 楼主 用什么东西  试 病毒啊

【回复“天月来了”的帖子】没准

引用:

【天月来了的贴子】现在才想起来问问猫猫！！！！ 这类病毒的文件的启动禁止，用现在的2008的瑞星的主动防御，可以禁止掉吗？？？ 估计中了后，2008的瑞星的程序都已不能启动了吧？？？ ………………

瑞星安装目录下有了这个WS2_32.dll畸形文件,启动瑞星时不是会出现"应用程序正常初始化（0xc00000ba)失败"吗.
没清WS2_32.dll前瑞星是用不了吧.