发表于: 2006-12-03 23:27 | 只看楼主 短消息 资料
字号: 1楼

ShellExecuteHook病毒清除工具

很久没有用安全软件了,最近办公室多台电脑都在“开始-程序-启动”菜单中留有一个以十六进制数命名的不固定的程序,即使在安全模式下用KILLBOX都无法删除。我们的电脑都没有安装杀毒软件,之后安装卡巴等都先被病毒干掉了不起作用。上网查了一下在 http://hi.baidu.com/killvir/blog/item/0254c3ce04e2b80392457eac.html 找到了相关介召,但没有找到有效的查杀方法和工具(有知道的请告之一下),于是自己晚上做了一个简拙的工具,不知对大家有否用。

ShellExecuteHook病毒清除工具 下载:http://zww.ys168.com
============================================================
ShellExecuteHooks QQ盗号系列病毒

摘自:http://hi.baidu.com/killvir/blog/item/0254c3ce04e2b80392457eac.html

129015.exe ShellExecuteHooks QQ盗号系列病毒2006-10-30 15:43129015.exe
SIZE:24057 bytes
SHA-160: 0C53D6F0B85D76E1CA3326682A0CB4004D9C186B
MD5    : FEA51781C9AFAB8E0810A7A11CD667BD
CRC-32 : 9A273BAA
加壳方式:FSG 2.0 -> bart/xt
编写语言:Borland Delphi 6.0 - 7.0
传播途径:QQ网络传播,恶意网页,其他病毒传播。
笔者按:最近频繁发作,中毒者若再次上QQ,盗你没商量。

病毒采用动态进程名,生成文件名可能不同
==============================================
在当前系统区创建文件:
C:\ADSAL.EXE
C:\WINDOWS\Help\ADSAL.CHM
C:\WINDOWS\system32\verclsid.exe (NO)
C:\Program Files\Common Files\SYSTEM\adsal.dll
C:\Program Files\Common Files\SYSTEM\adsal.dat
X:\AUTORUN.INF (NO)
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\129015.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\129015.exe
注册表创建:
CLSID\{D18E336D-8C58-0615-8133-E6B60112AA06}
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{D18E336D-8C58-0615-8133-E6B60112AA06}
Software\Microsoft\Installer\Products\FD81FABA512C494448F1E4AA647C611B (NO)
==============================================
禁用以下服务:
navapsvc
RsRavMon
RsCCenter
kavsvc
KVSrvXP
KVWSC
wscsvc
KPfwSvc
KWatchSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
McShield
McTaskManager
McAfeeFramework
RfwService
SKNFW
SkyProcs
AVP
RavMon
KAVPersonal50
RavTimer
RavTask
KvMonXP
iDuba Personal FireWall
KAVRunKpopMon
Kulansyn
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
KavStart
RfwMain
SonudMan
KvPpWall_autorun
SKYNET Personal FireWall
Jiangmin KVFW
Rapdateiyr
iDuba Personal FireWall
KavPFW
KvXP
==============================================
删除以下ShellExecuteHooks:
{32CD708B-60A7-4C00-9377-D73EAA495F0F}  WINDOWS\system32\RavExt.dll
{42AFACEE-2A77-41EB-9EE2-D9F8AF827F90}  KV2006\KVBHO.dll
{80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9}  KV2004\KvShell.dll
{B5A34A93-D538-43A7-8371-864CB6148D12}  KV2006\KvShell.dll
{55302805-482E-470E-8A57-6795A1487F90}  KAV2007\KAVAFish.DLL
==============================================
检查以下注册表(难道互斥,附上了此前的病毒文件目录及文件名)
{08315C1A-9BA9-4B7C-A432-26885F78DF28}  Program Files\Common Files\Microsoft Shared\MSINFO\rejoi.vxd
{02315C1A-9BA9-4B7C-A432-29995F78DF28}  Program Files\Internet Explorer\Connection Wizard\xiaran.vxd
{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}  Program Files\Internet Explorer\PLUGINS\new123.sys
{18B07788-52BE-48FC-A0B7-4823C449323B}  WINDOWS\inf\mutou328.dll
{79BB2EA7-2ADB-4CB4-AF95-373AD4993F00}  Program Files\Common Files\Microsoft Shared\MSINFO\MSIOFF0.SYS
{08315C1A-9BA9-4B7C-A432-26885F78DF29}  Program Files\Common Files\Microsoft Shared\MSINFO\winrar.lmz
{25E1EECB-E580-4032-97A2-A456D33820D1}  Program Files\Outlook Express\mqq.dll
{471E7641-6365-43FE-8464-37DEF8335FB0}  WINDOWS\system32\qqdll.dll
{08315C1A-9BA9-4B7C-A432-26885F7QQDSQ}  Program Files\Common Files\Microsoft Shared\MSINFO\qqdsq.lmz
{08315C1A-9BA9-4B7C-A432-26885F3QQDSQ}  Program Files\Common Files\Microsoft Shared\MSINFO\qqdsq2.lmz
==============================================
删除以下启动项:
SoftWare\Microsoft\Windows\CurrentVersion\Run  KWatch9x
SoftWare\Microsoft\Windows\CurrentVersion\RunServices
==============================================
创建/修改以下程序:
KvNative.bak \KvNative.exe
UpdateX.bak  \UpdateX.dll
KvfwUtl.bak  \KvfwUtl.dll
RsGuiLib.bak \RsGuiLib.dll
KAConfig.bak \KAConfig.DLL
rpt.bak      \rpt.dll
unins000.bak \unins000.dll
shutil.bak  \shutil.dll
npkcrypt.bak \npkcrypt.sys
==============================================
禁止以下程序的使用
SafeCheck.exe
scan32.exe
shcfg32.exe
mcconsol.exe
avp.exe
SREng.exe
HijackThis.exe
KvXP.kxp
KVMonXP.kxp
kvol.exe
kvolself.exe
KvXP_1.kxp
KVMonXP_1.kxp
KAV32.EXE
KAVStart.EXE
KASMain.EXE
Update.EXERav.exe
SmartUp.exe
PFW.exe
Iparmor.exe
mmsk.exe
mmqczj.exe
Trojanwall.exe
FTCleanerShell.exe
svohost.exe
NTdhcp.exe
==============================================
处理建议:
1、终止explorer.exe & ADSAL.EXE
2、改ShellExecuteHooks的相关文件名
3、删除注册表中的ShellExecuteHooks相关项目
4、(重启动)删除相关病毒文件
5、恢复安全软件设置,QQ程序文件、其他修改过的程序文件(有些被修改过的程序建议重新下载后安装)
最后编辑2006-12-03 23:27:14.437000000