主体文件名：dllhost.exe
文件大小: 762368 bytes
MD5: 9825e84cab8476682e631403d1835981
SHA1: 3bf7713c184d75ae39dc7fbbef5a4b83ab910d6c
多引擎扫描结果：
AVG报：BackDoor.Hupigon.LK
卡巴斯基报：Backdoor.Win32.Hupigon.emv
F-Secure报：Backdoor.Win32.Hupigon.emv
一、特点：
1、文件释放：
（1）在WINDOWS目录下释放病毒文件：
dllhost.exe
setupss1.pif
（2）在硬盘各分区根目录下创建autorun.inf和隐藏文件夹runauto..
runauto..文件夹中包含病毒文件autorun.pif
autorun.inf文件内容：
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
（runauto..文件夹及其中的病毒文件autorun.pif需用IceSword才能删除）。
2、通过IFEO劫持将系统程序cmd.exe、msconfig.exe、regedit.exe、regedt32.exe导向病毒文件setuprs1.exe和xxxx.pif（X为随机数字）。
3、病毒会关闭autorans.exe窗口。但因其动作较慢，中招后，用户还是可以运行autorans.exe，发现这只鸽子的IFEO劫持项（图1）。dllhost.exe会反复写入这几个注册表项
4、IceSword进程列表中可见病毒进程%windows%\dllhost.exe（非隐藏）。但“禁止进程创建”前，此病毒进程无法结束（图2）。
5、这只鸽子感染U盘，且可通过U盘传播。U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。


二、查杀流程（使用IceSword）：

1、禁止进程创建。
2、结束病毒进程%windows%\dllhost.exe。
3、删除病毒文件：
%windows%\dllhost.exe
%windows%\setuprs1.exe
X:\runauto..\autorun.pif（X代表各硬盘分区以及U盘盘符）
X:\runauto..文件夹
4、删除图3所示的病毒服务项（SRENG日志中也可见此服务项）。此外，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支下的"C:\\windows\\dllhost.exe"="C:\\windows\\dllhost.exe:*:Enabled:dllhost.exe"也要删除。
5、删除病毒添加的IFEO项（图1）。
6、取消IceSword的“禁止进程创建”。



图1

图2

图3

引用:

【taylor05771的贴子】发到 zhz010266@njude.com.cn ………………

已发

引用:

【zheng882006的贴子】版主：你好 我是新手，用您的方法，扫描出C:\WINDOWS\system32　C:\WINDOWS\system32\dllcache都有dllhost.exe，但setupss1.pif没有，在硬盘各分区根目录下没有autorun.inf和隐藏文件夹runauto..　　　病毒服务项没有dllhost.exe　 使用IceSword找不到进程dllhost.exe　在IceSword文件找不到进程dllhost.exe文件　 使用IceSword　禁止进程创建　不用IceSword　删除　直接删除C:\WINDOWS\system32　C:\WINDOWS\system32\dllcache　中的dllhost.exe　 不知有无后果？ ………………

如果你叙述的情况属实，那么，你没中这只鸽子。
C:\WINDOWS\system32\dllcache文件夹是系统文件夹。不要动。

引用:

【zheng882006的贴子】谢谢版主 我用HijackThis扫描系统： Logfile of HijackThis v1.99.1 Scan saved at 11:06:15, on 2007-4-2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\瑞星\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE c:\瑞星\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe c:\瑞星\rising\rfw\RfwMain.exe C:\WINDOWS\System32\alg.exe C:\木马克星\Iparmor\Iparmor.exe C:\Program Files\Rising\AntiSpyware\runiep.exe C:\瑞星\Rising\Rav\RavTask.exe C:\瑞星\Rising\Rav\Ravmon.exe C:\Windows木马清道夫\Trojanwall.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\白猫系统王\CatKing.exe C:\WINDOWS\system32\conime.exe C:\万联2003\hexin.exe C:\Program Files\Internet Explorer\iexplore.exe D:\HijackThis\HijackThis.exe O2 - BHO: (no name) - {672AF8C7-19FA-485A-A82E-2642E15375B6} - C:\Windows木马清道夫\FygIEmon.dll (file missing) O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file) O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll O4 - HKLM\..\Run: [IMJPMIG8.1] rem ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] rem ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] rem ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SysExplr] rem ; C:\Herosoft\HeroV8\SysExplr.EXE O4 - HKLM\..\Run: [igfxtray] rem ; C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] rem ; C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] rem ; C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [IMSCMig] rem ; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [TkBellExe] rem "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot O4 - HKLM\..\Run: [iparmor] C:\木马克星\Iparmor\Iparmor.exe mini O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe O4 - HKLM\..\Run: [RavTask] "C:\瑞星\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [RfwMain] "C:\瑞星\Rising\Rfw\rfwmain.exe" -Startup O4 - HKLM\..\Run: [Windows木马防火墙] C:\Windows木马清道夫\Trojanwall.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra ''Tools'' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra button: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - Extra ''Tools'' menuitem: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: COM+ System Application (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing) O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\瑞星\rising\rfw\rfwproxy.exe O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\瑞星 \rising\rfw\rfwsrv.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\瑞星 \Rising\Rav\CCenter.exe O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\瑞星\Rising\Rav\Ravmond.exe O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing) 您看有没有问题？ ………………

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O23 - Service: COM+ System Application (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)


建议：在安全模式下，用HJ修复上述项目。

另：请用IceSword找找，看看C:\WINDOWS\system32\dllhost.exe 是否确已被删除了。如果没删，请顺手删除。

引用:

【不动如山的贴子】baohe,怎么才知道注册表被改了哪里? ………………

我用Tiny的Track'nReverse监控。
设置好SSM的“注册表”模块以及日志记录内容，用SSM也行。