瑞星卡卡安全论坛

最近发现这个病毒很流行，其实他和Win32.Downloader.b是一个病毒，都是先前罗姆病毒的变种感染的。被感染的文件一般报Win32.Loader.c或者Win32.Downloader。

被感染的文件不会释放病毒文件，一般会在末尾加入一个节，该节的内容一般为带有下载功能的代码，用于联网下载新的病毒。下载的病毒放到%systemroot%\system32\dllcache下面命名为svchost.exe并覆盖原来的文件。
被感染后如果病毒成功的下载了下来并运行了，主要有以下几种症状：

1.某些杀毒软件正常初始化失败，出现(0xc00000ba)错误。这是由于在这些软件的目录下添加了一个伪MFC42.DLL所致
2.所有系统分区外的exe文件被感染
3.下载大量木马和病毒文件（多为*door0.dll木马群）
4.会向移动存储中写入windows.scr和autorun.inf文件，达到通过移动存储传播的目的
5.会向局域网内的机器发动arp欺骗攻击

具体的病毒分析见http://forum.ikaka.com/topic.asp?board=28&artid=8375741
下面通过举例再完整的阐述一遍这个病毒的解决办法：

以下是一个被感染这个病毒后的sreng日志
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
    <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
    <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
    <{11DB88F9-409B-475E-8FD7-411653F6D367}><C:\WINDOWS\system32\55550.dll> []
    <{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
    <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
    <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
    <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
    <{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}><C:\WINDOWS\system32\dh3oor0.dll> []
    <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
    <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
    <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
    <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
    <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
    <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
    <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
    <{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}><C:\WINDOWS\system32\cqdoor0.dll> []
    <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []

==================================
浏览器加载项
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

==================================
正在运行的进程
[PID: 1692][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Internet Explorer\OnlO0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
    [C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\55550.dll] [N/A, ]
    [C:\WINDOWS\system32\csdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\dh3oor0.dll] [N/A, ]
    [C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
    [C:\Program Files\Common Files\fjOs0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
    [C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\cqdoor0.dll] [N/A, ]
    [C:\WINDOWS\system32\fydoor0.dll] [N/A, ]

解决办法如下（注意一定一步一步来，不要漏掉任何一步,尤其注意后面要全盘杀毒）

首先下载Xdelbox1.6：http://www.dodudou.com/down/里面的原创软件文件夹下
和sreng http://download.kztechs.com/files/sreng2.zip

1.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
打开%system32%文件夹（默认C:\Windows\system32）
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*door0.dll
记住所有*door0.dll的名称
（熟悉sreng的朋友可以通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks的相应键值找到他们）



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)


附件: 5543452007117152411.jpg

2.打开Xdelbox
在 添加旁边的框中 分别输入
C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\WINDOWS\system32\mhdoor0.dll
C:\WINDOWS\system32\wodoor0.dll
C:\WINDOWS\system32\55550.dll
C:\WINDOWS\system32\csdoor0.dll
C:\WINDOWS\system32\wldoor0.dll
C:\WINDOWS\system32\wgdoor0.dll
C:\WINDOWS\system32\dadoor0.dll
C:\WINDOWS\system32\dh3oor0.dll
C:\WINDOWS\system32\qjdoor0.dll
C:\WINDOWS\system32\rxdoor0.dll
C:\WINDOWS\system32\wddoor0.dll
C:\WINDOWS\system32\tldoor0.dll
C:\WINDOWS\system32\zxdoor0.dll
C:\WINDOWS\system32\mydoor0.dll
C:\WINDOWS\system32\qhdoor0.dll
C:\WINDOWS\system32\cqdoor0.dll
C:\WINDOWS\system32\fydoor0.dll

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 （按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除



附件: 5543452007117152445.jpg

重启计算机以后会有一个系统菜单选择选择Go Xdelbox To Del Files

附件: 5543452007117152506.jpg

类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式


3.重启计算机以后
打开sreng
启动项目    注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
    <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
    <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
    <{11DB88F9-409B-475E-8FD7-411653F6D367}><C:\WINDOWS\system32\55550.dll> []
    <{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
    <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
    <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
    <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
    <{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}><C:\WINDOWS\system32\dh3oor0.dll> []
    <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
    <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
    <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
    <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
    <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
    <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
    <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
    <{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}><C:\WINDOWS\system32\cqdoor0.dll> []
    <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []
...
（所有的*door0.dll的项目）

系统修复－浏览器加载项－找到如下项目 点击删除项目，在弹出的对话框中点“是”
[]
            {C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>


4.删除安全软件文件夹下的MFC42.DLL

下载附件中的 清除歧义文件夹.rar
解压缩

将要删除的MFC42.DLL文件或者文件夹，（在那个出现初始化(0xc00000ba)错误的杀毒软件的安装文件夹中）用鼠标左键拖放到1.bat的文件图标上（就像把文件拖到文件夹里的操作一样），一个CMD窗口闪烁之后伪"MFC42.DLL"文件夹就被删除了

5.修复受感染的exe文件
最后一定使用杀毒软件全盘杀毒！
因为该病毒感染所有非系统分区的exe，所以一定要用杀毒软件全盘杀毒，注意，杀毒的时候要选择“清除病毒”，这样可以修复被感染的exe文件而不是直接删除被感染的exe文件

6.把%systemroot%\system32下面的svchost.exe复制一个拷贝到%systemroot%\system32\dllcache下面


附件: 5543452007117152818.rar

占到沙发了...
door0.dll 这日志看得都头晕

没有遇到,,,但也谢谢了,,多一点经验.

最后一步，不做“病理”分析或中了，从日志中看不出来。另外的提醒也不能忽略！收藏版主贴子！

学习了，多谢了！

注意:
%systemroot%\system32\dllcache下面的svchost.exe最好是覆盖而不是删除.因为dllcache文件夹里的文件是ystem32下系统文件备份.删除可能日后想修复系统就难了.

日志中%systemroot%\system32\dllcache下面的svchost.exe没有表现出来.真得小心啊不然真白忙活啊.

【回复“newcenturymoon”的帖子】
我用你们的方法搜索，没有搜索到任何*door0.dll
文件，现在瑞星监控还是被关闭着，自己开启后一小会儿就会被关闭了。怎么办啊？？？

我用你们的方法搜索，没有搜索到任何*door0.dll
文件，现在瑞星监控还是被关闭着，自己开启后一小会儿就会被关闭了。怎么办啊？？？

学习了

收藏了~~~

6.把%systemroot%\system32下面的svchost.exe复制一个拷贝到%systemroot%\system32\dllcache下面

好关键~~

好帖子,斑竹辛苦了~~

学习了，不过我前久处理过的一台机子，不但有*door0.dll,还有*door1.dll,我认为是衍生或变化后的产物，也给删了，不知道对不对？？！！

谢了

感谢LZ,这几天弄过好几台感染这个病毒的机器了

杀软克星最终还是流行开来了……

为何方法这么烦琐，下载的也不是瑞星工具，那瑞星做什么去啦？！

该用户帖子内容已被屏蔽

收藏

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

好贴,学习了

我旁边一台电脑中了类似这病毒是的，电脑系统都很难进，进去很难卡几下就蓝屏， 安全模式进去就蓝屏。真火大呀。

遇到这类病毒该怎么办呀？如果没有还原的话？

谢了

有没有简单点的方法啊

该用户帖子内容已被屏蔽

SRENG不能打开怎么办？
它使用的是随机数，但是映像劫持还是可以影响到它