第一次测的时候是25号..
具体在 http://bbs.2dai.com/thread-458012-1-1.html
病毒为 C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll

今天又测了一个同胞..比25号那个要猛得多..
样本连接:http://bbs.2dai.com/thread-460838-1-1.html

运行这个样本后释放文件
C:\Program Files\Common Files\SYSTEM\A4809591.dat
C:\Program Files\Common Files\SYSTEM\A4809591.dll
C:\WINDOWS\Help\ADSAL.CHM
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\801959.exe(命名随机)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\801959.exe(命名随机)

C:\WINDOWS\system32\verclsid.exe(系统文件) 修改为 C:\WINDOWS\system32\verclsid.exe.bak

注册表相关项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
填加 {A48AA915-9150-5091-948A-09094A91508A}

HKCR\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32\（默认）
修改为 C:\Program Files\Common Files\SYSTEM\A4809591.dll

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start
先前值 00000002 修改为 00000004

破坏杀软的相关注册表
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\navapsvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\kavsvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KVWSC

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\KWatchSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccProxy

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\MskService
 
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\FireSvc

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McShield

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\RfwService

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SKNFW

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SkyProcs

  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\AVP

这个病毒存在时..
SREng 无法使用(改完后辍可使用)..
修改了安全软件的后辍为 *.bak 
反复读软驱..打印非常难用..再或者无法使用..
插上U盘也会感染(偶的U盘不在身边 无法具体测试)

处理方法:
必须在安全模式下操作
删除文件
C:\Program Files\Common Files\SYSTEM\A4809591.dat
C:\Program Files\Common Files\SYSTEM\A4809591.dll(插入了 Explorer.exe 用killbox 勾上 删除前先结束Explorer.exe进程 然后删除)
C:\WINDOWS\Help\ADSAL.CHM
C:\WINDOWS\system32\verclsid.exe.bak
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\801959.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\801959.exe
删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 分支 {A48AA915-9150-5091-948A-09094A91508A}
HKCR\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32

HKEY_CLASSES_ROOT\CLSID\{A48AA915-9150-5091-948A-09094A91508A}\InProcServer32
（默认）右键 删除..

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
Start 的值从 4 改回 2

删除破坏安全软件的所有注册表..

卸载掉杀毒软件 删除杀毒软件的文件夹后..重新安装..

C:\WINDOWS\system32\verclsid.exe 这个系统文件据说 没撒用..如果需要可以去正常系统复制一份即可..

这玩意还会出变种的..等待中..

学习

建议重装杀软。。。至于SREng，不怕，有好几个扩展可以用。。。哈哈

HKEY_CLASSES_ROOT\CLSID\{A48AA915-9150-5091-948A-09094A91508A}直接删除就可以了

头痛晕忽忽滴～～我的电脑都快不行了．可是我又是个电脑盲，什么都不懂，该怎么办？

xue xi

应该支持一下,学习!!

【回复“mopery”的帖子】
用SSM禁止木马文件加载，重启。即可删除大部分文件（图1）

至于C:\Program Files\Common Files\SYSTEM\A4809591.dll，可以用KillBox替换删除。

咔吧斯基不能加载运行，除了要将注册表服务项改会外，还要将rpt.bak改为rpt.dll。这样，不用重装，即可运行。图2

图3：咔吧可以运行了