瑞星卡卡安全论坛

此毒查杀比较难。

我得到的原始“火种”是一个MSDOS.BAT文件。当时，用瑞星20.38.60扫此样本，瑞星不报毒。已将此样本提交瑞星公司。
中此病毒群后，MSDOS.BAT位于硬盘各个分区的根目录下（还有一个指向MSDOS.BAT的autorun.inf）。MSDOS.BAT运行后访问网络：58.53.128.37，下载大量病毒。


1、释放/下载的主要病毒文件：
c:\windows\tasks\0x01xx8p.exe
c:\windows\tasks\explorer.ext
c:\windows\system32\7560.dat
c:\windows\system32\a0.ext
.
.
.
c:\windows\system32\a25.ext
c:\windows\system32\oko.exe
c:\windows\system32\msosdohs.dat
c:\windows\system32\msosdohs00.dll（插入explorer.exe进程）
c:\windows\system32\msosdohs01.dll（插入explorer.exe进程）
c:\windows\system32\ttEZZEZZ1044.dll
c:\windows\system32\ttNNBNNB1047.dll
c:\windows\system32\txWWQWWQ1006.dll
c:\zzz.sys（加载后自动删除）
c:\windows\system32\drivers\msosfpids32.sys
病毒文件还有不少（见附件图）

2、感染硬盘中的.exe、.htm、html文件；删除c:\windows\system32\verclsid.exe；替换C:\windows\explorer.exe。

MSDOS.BAT感染型下载器的病毒下载地址：
http://58.53.128.37/a0.exe
http://58.53.128.37/a1.exe
http://58.53.128.37/a2.exe
http://58.53.128.37/a3.exe
http://58.53.128.37/a4.exe
http://58.53.128.37/a5.exe
http://58.53.128.37/a6.exe
http://58.53.128.37/a7.exe
http://58.53.128.37/a8.exe
http://58.53.128.37/a9.exe
http://58.53.128.37/a10.exe
http://58.53.128.37/a11.exe
http://58.53.128.37/a12.exe
http://58.53.128.37/a13.exe
http://58.53.128.37/a14.exe
http://58.53.128.37/a15.exe
http://58.53.128.37/a16.exe
http://58.53.128.37/a17.exe
http://58.53.128.37/a18.exe
http://58.53.128.37/a19.exe
http://58.53.128.37/a20.exe
http://58.53.128.37/a21.exe
http://58.53.128.37/a22.exe
http://58.53.128.37/a23.exe
http://58.53.128.37/a24.exe
http://58.53.128.37/a25.exe
http://58.53.128.37/oko.exe

查杀难点：
1、c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合，指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、explorer.exe进程以及所有应用程序进程（包括安全软件的进程也被插入）。

2、explorer.exe被病毒替换。如果强制删除这个被病毒替换explorer.exe，及上面提到的病毒文件，桌面消失。即使注销当前用户，重新登录系统，也无法显示桌面。

3、此毒感染硬盘所有分区中的.exe、.htm、html文件。

4、c:\windows\system32\文件夹、c:\windows\system32\drivers\文件夹、c:\windows\tasks\文件夹、当前用户临时文件夹中都有病毒文件。

5、此毒貌似是针对SRENG的。中这堆病毒后，用户试图运行SRENG扫日志时，SRENG即刻被病毒删除。

我在影子系统（全影模式）中运行过这个病毒样本，用Tiny全程监控可以获得此病毒群感染系统的全部信息（见附件图）。有了这些信息，可以用IceSword手工删除那堆病毒文件。被感染的.exe、.htm、html等，需用杀软处理（量太大）。

另：有人说此毒可以穿透影子系统2.8。全影系统运行病毒样本，重启后，被病毒替换explorer.exe以及病毒驱动C:\zzz.sys还在系统中。但是，我在全影模式下运行此毒，没有发现这个现象。重启后，系统是干净的。



[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 155847200847215848.rar

占楼欣赏^_^

木马下载器+进程守护+感染型蠕虫

SRE是不是太出名了 什么毒都跟SRE过不去

引用:

【秋叶濛濛的贴子】占楼欣赏^_^ 木马下载器+进程守护+感染型蠕虫 SRE是不是太出名了 什么毒都跟SRE过不去 ………………

看来要更新了

不止是SRE吧  冰刃、杀软、unlocker、压缩管理器都打不开

无法进入安全模式  暂时只有Autoruns还可以用

不过对影子系统2008好象不起作用

【回复“baohe”的帖子】
拿下

跟着叔学习

对于感染型的，除了等待杀毒软件更新到可以清理以外，其他的不要多想了。

想也没用。

还是建议早期防护系统为好，已中毒的，只能无奈了。

在清理完系统里主程序后，升级杀毒软件全盘杀毒，能杀完的，就找机会重装系统，那些被恶搞的地方都去恢复会累死人的。

不能清除的感染，只能将被感染的文件先放一边，不能用的了。等以后清除感染，唯一的办法。

我中的就是这个病毒，而且我还发现这个病毒急易感染，不知道怎么就被感染了。我朋友就是这个例子，还我公司也是。现在已经有很多人中了这个病毒了。
金山是已经发现解决方法，但瑞星目前还没提供出来。
希望能够尽快提供解决方法。

我刚用金山的杀了下，总共杀出10万多个病毒，真的是太酷了。

呵呵，我文件数总共才100多万个，既然有10万中毒的。
还有恶意插件等。

不过还是没给值得住这个病毒，郁闷死了。
希望能快点编出杀毒程序出来。

公司几十台都中毒了，郁闷啊，亟待解决！！！！！

发现个秘密    用卡卡可以清理掉此病毒

不过重启后桌面没了  哈哈

桌面都没了，搞个鬼啊
这玩意头疼，完全无从下手，重装都不管……

比较厉害的病毒啊...等待LZ的解决方法..

比较厉害哈

学习ing  好贴要顶起来先

很神奇的病毒，我在一个单位遇到了。正在查杀，使用360粉碎文件无效。这个问题还是我自行解决吧。楼主说的我都已经用360查到，并查看了下载路径。都在c:\windows\system32\下一个C开头的txt文件里面

有没有办法啊，已经中招了，求助啊:default2:

全完了,我已经放弃重格了