瑞星卡卡安全论坛

杀软的是Backdoor.Win32.Bifrose.ago，主要生成位置是 C:NeroCheck.exe/Expressor，对应注册表键是HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{9B71D88C-C598-4935-C5D1-43AA4DB90836}底下的名称stubpath，类型REG_EXPAND_SZ，数据C:NeroCheck.exe s，但也常常染到System Volume Information底下，以下是我1个半月被感染的纪录：

已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: c:windowssystem32nerocheck.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:NeroCheck.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP198A0053939.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP203A0076966.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:WINDOWSsystem32smartdrv.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP200A0064946.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP203A0076984.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP211A0083196.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082405.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082412.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082419.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082425.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082452.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP213A0089138.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: G:autorun.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP213A0090241.exe/Expressor

杀软能把病毒和对应的键删掉，但重启键又会生成，再次重启nerocheck.exe就生成了，每次重启C:NeroCheck.exe 都会自动运行，这个位置我自己做了一个免疫，但它要是染到System Volume Information就没招了，每次的病毒名都不一样。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
附件为SrengPS扫描的日志


附件: 938929200798234738.txt

一、用SRENG扫描工具删除以下注册表值项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{95192103-834D-71CF-64CD-51E15112AF20}]
  <N/A><C:windowssystem32nwizhx2.exe> [N/A]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
  <MoveSearch><; > [N/A]
==================================
二、用SRENG扫描工具删除以下服务：
[Network Security / Indtry][Stopped/Auto Start]
<C:windowsSystem32svchost.exe -k netsvcs-->C:windowssystem32xanol.dll><N/A>
==================================
三、用SRENG扫描工具删除以下驱动程序：
[1 / 1][Stopped/Boot Start]
<SystemRootSystem32drivers4623484.sys><N/A>
[xinstall / xinstall][Running/Auto Start]
<??C:WINDOWSsystem32driversxinstall.sys><N/A>

[673109 / 673109][Running/]
<2 - 系统找不到指定的文件。
><N/A>
==================================
四、重启进入安全模式，开始--程序--WINRAR--WINRAR，用压缩工具删除以下文件：
C:\windows\system32\nwizhx2.exe
C:\windows\system32\xanol.dll
C:\windows\System32\drivers\4623484.sys
C:WINDOWS\system32\drivers\xinstall.sys
C:\Autorun.inf
C:\autorun.exe
D:\Autorun.inf
D:\autorun.exe
E:\Autorun.inf
E:\autorun.exe
F:\Autorun.inf
F:\autorun.exe
==================================
五、安全模式下全盘杀毒。
==================================

说明：
1、杀毒期间不要用任何方式直接访问所有磁盘驱动器，否则工作白做。
2、
==================================
HOSTS 文件
N/A
==================================
上面这个表示你机的HOSTS文件不存在或被删除，如果不影响使用的话，可以不管它。