关于病毒cbkdkiw.exe

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-15 13:29 \| 显示全部短消息资料字号：小中大 1楼关于病毒cbkdkiw.exe 此毒可经U盘等移动存贮介质传播，并利用IFEO劫持破坏多种安全软件/工具加载运行。杀毒的关键是——彻底删除插入lsass.exe进程中的病毒模块C:\windows\system32\RAVWL.DLL。一、SRENG日志所见异常项：启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <exkataj><C:\windows\system32\cbkdkiw.exe> [] <wpqggej><C:\windows\system32\dnierjk.exe> [] ================================== 服务 [WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start] <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A> ================================== 正在运行的进程 [PID: 536][C:\windows\system32\dnierjk.exe] [N/A, ] [PID: 1140][C:\windows\system32\cbkdkiw.exe] [N/A, ] ================================== Autorun.inf [D:\] [AutoRun] open=wpqggej.exe shellexecute=wpqggej.exe shell\Auto\command=wpqggej.exe ———————————————— 二、手工杀毒流程: 1、将IceSword.exe改名运行。 2、用IceSword禁止进程创建；结束病毒进程（图1）并删除下列病毒文件： C:\windows\system32\dnierjk.exe C:\windows\system32\cbkdkiw.exe C:\windows\system32\RAVWL.DLL（已经插入到lsass.exe进程中）各分区根目录下的wpqggej.exe和autorun.inf 3、用IceSword找到并删除下列病毒启动项、服务项： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <exkataj><C:\windows\system32\cbkdkiw.exe> [] <wpqggej><C:\windows\system32\dnierjk.exe> [] [WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start] <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A> 4、取消IceSword的“禁止进程创建”。点击IceSword工具栏上的“文件”、“重启并监视”。 5、重启后，删除当前用户文件夹中的病毒文件（图2）。 6、删除病毒添加的IFEO劫持项： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options + 360rpt.exe c:\windows\system32\dnierjk.exe + 360Safe.exe c:\windows\system32\dnierjk.exe + 360tray.exe c:\windows\system32\dnierjk.exe + adam.exe c:\windows\system32\dnierjk.exe + AgentSvr.exe c:\windows\system32\dnierjk.exe + AppSvc32.exe c:\windows\system32\dnierjk.exe + autoruns.exe c:\windows\system32\dnierjk.exe + avconsol.exe c:\windows\system32\dnierjk.exe + avgrssvc.exe c:\windows\system32\dnierjk.exe + AvMonitor.exe c:\windows\system32\dnierjk.exe + avp.com c:\windows\system32\dnierjk.exe + avp.exe c:\windows\system32\dnierjk.exe + CCenter.exe c:\windows\system32\dnierjk.exe + ccSvcHst.exe c:\windows\system32\dnierjk.exe + EGHOST.exe c:\windows\system32\dnierjk.exe + FileDsty.exe c:\windows\system32\dnierjk.exe + FTCleanerShell.exe c:\windows\system32\dnierjk.exe + FYFireWall.exe c:\windows\system32\dnierjk.exe + HijackThis.exe c:\windows\system32\dnierjk.exe + IceSword.exe c:\windows\system32\dnierjk.exe + iparmo.exe c:\windows\system32\dnierjk.exe + Iparmor.exe c:\windows\system32\dnierjk.exe + isPwdSvc.exe c:\windows\system32\dnierjk.exe + kabaload.exe c:\windows\system32\dnierjk.exe + KaScrScn.SCR c:\windows\system32\dnierjk.exe + KASMain.exe c:\windows\system32\dnierjk.exe + KASTask.exe c:\windows\system32\dnierjk.exe + KAV32.exe c:\windows\system32\dnierjk.exe + KAVDX.exe c:\windows\system32\dnierjk.exe + KAVPF.exe c:\windows\system32\dnierjk.exe + KAVPFW.exe c:\windows\system32\dnierjk.exe + KAVSetup.exe c:\windows\system32\dnierjk.exe + KAVStart.exe c:\windows\system32\dnierjk.exe + KISLnchr.exe c:\windows\system32\dnierjk.exe + KMailMon.exe c:\windows\system32\dnierjk.exe + KMFilter.exe c:\windows\system32\dnierjk.exe + KPFW32.exe c:\windows\system32\dnierjk.exe + KPFW32X.exe c:\windows\system32\dnierjk.exe + KPfwSvc.exe c:\windows\system32\dnierjk.exe + KRegEx.exe c:\windows\system32\dnierjk.exe + KRepair.COM c:\windows\system32\dnierjk.exe + KsLoader.exe c:\windows\system32\dnierjk.exe + KVCenter.kxp c:\windows\system32\dnierjk.exe + KvDetect.exe c:\windows\system32\dnierjk.exe + KvfwMcl.exe c:\windows\system32\dnierjk.exe + KVMonXP.kxp c:\windows\system32\dnierjk.exe + KVMonXP_1.kxp c:\windows\system32\dnierjk.exe + kvol.exe c:\windows\system32\dnierjk.exe + kvolself.exe c:\windows\system32\dnierjk.exe + KvReport.kxp c:\windows\system32\dnierjk.exe + KVScan.kxp c:\windows\system32\dnierjk.exe + KVSrvXP.exe c:\windows\system32\dnierjk.exe + KVStub.kxp c:\windows\system32\dnierjk.exe + kvupload.exe c:\windows\system32\dnierjk.exe + kvwsc.exe c:\windows\system32\dnierjk.exe + KvXP.kxp c:\windows\system32\dnierjk.exe + KvXP_1.kxp c:\windows\system32\dnierjk.exe + KWatch.exe c:\windows\system32\dnierjk.exe + KWatch9x.exe c:\windows\system32\dnierjk.exe + KWatchX.exe c:\windows\system32\dnierjk.exe + loaddll.exe c:\windows\system32\dnierjk.exe + MagicSet.exe c:\windows\system32\dnierjk.exe + mcconsol.exe c:\windows\system32\dnierjk.exe + mmqczj.exe c:\windows\system32\dnierjk.exe + mmsk.exe c:\windows\system32\dnierjk.exe + Navapsvc.exe c:\windows\system32\dnierjk.exe + Navapw32.exe c:\windows\system32\dnierjk.exe + nod32.exe c:\windows\system32\dnierjk.exe + nod32krn.exe c:\windows\system32\dnierjk.exe + nod32kui.exe c:\windows\system32\dnierjk.exe + NPFMntor.exe c:\windows\system32\dnierjk.exe + PFW.exe c:\windows\system32\dnierjk.exe + PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe + QHSET.exe c:\windows\system32\dnierjk.exe + QQDoctor.exe c:\windows\system32\dnierjk.exe + QQKav.exe c:\windows\system32\dnierjk.exe + Ras.exe c:\windows\system32\dnierjk.exe + Rav.exe c:\windows\system32\dnierjk.exe + RavMon.exe c:\windows\system32\dnierjk.exe + RavMonD.exe c:\windows\system32\dnierjk.exe + RavStub.exe c:\windows\system32\dnierjk.exe + RavTask.exe c:\windows\system32\dnierjk.exe + RegClean.exe c:\windows\system32\dnierjk.exe + rfwcfg.exe c:\windows\system32\dnierjk.exe + rfwmain.exe c:\windows\system32\dnierjk.exe + rfwsrv.exe c:\windows\system32\dnierjk.exe + RsAgent.exe c:\windows\system32\dnierjk.exe + Rsaupd.exe c:\windows\system32\dnierjk.exe + runiep.exe c:\windows\system32\dnierjk.exe + safelive.exe c:\windows\system32\dnierjk.exe + scan32.exe c:\windows\system32\dnierjk.exe + shcfg32.exe c:\windows\system32\dnierjk.exe + SmartUp.exe c:\windows\system32\dnierjk.exe + SREng.EXE c:\windows\system32\dnierjk.exe + symlcsvc.exe c:\windows\system32\dnierjk.exe + SysSafe.exe c:\windows\system32\dnierjk.exe + TrojanDetector.exe c:\windows\system32\dnierjk.exe + Trojanwall.exe c:\windows\system32\dnierjk.exe + TrojDie.kxp c:\windows\system32\dnierjk.exe + UIHost.exe c:\windows\system32\dnierjk.exe + UmxAgent.exe c:\windows\system32\dnierjk.exe + UmxAttachment.exe c:\windows\system32\dnierjk.exe + UmxCfg.exe c:\windows\system32\dnierjk.exe + UmxFwHlp.exe c:\windows\system32\dnierjk.exe + UmxPol.exe c:\windows\system32\dnierjk.exe + UpLive.exe c:\windows\system32\dnierjk.exe + vsstat.exe c:\windows\system32\dnierjk.exe + webscanx.exe c:\windows\system32\dnierjk.exe + WoptiClean.exe c:\windows\system32\dnierjk.exe 7、删除病毒添加的注册表垃圾： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20} 图1 附件: 文件名:1558472007515132022.jpg 下载次数:303 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-15 13:29:31 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-05-16 01:34:21
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-15 13:30 \| 显示全部短消息资料字号：小中大 2楼图2 附件: 文件名:1558472007515132042.jpg 下载次数:245 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-15 13:30:43 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-15 13:37 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【newcenturymoon的贴子】谢谢猫叔的分析哈昨天本来拿到样本了但是虚拟机里运行就出错不知道为什么
能否把样本发给我呢？谢谢
刚我也写了一个恶意的U盘病毒的分析
比这个厉害的多滴
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
最近很流行这种恶意的U盘病毒
………………

我的这个样本就是你提供的那个。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-15 13:45 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【newcenturymoon的贴子】不是啊两回事的这两种的样本我都有的你分析那个病毒文件名是固定的但你分析的这个样本我一运行就出错

………………

不要用什么“虚拟机”。
这种病毒，可以实机运行。
为了观察其全部行为，应该联网、实机运行。
另外，观察这个病毒的行为，须临时取消安全软件的注册表防护。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-05-15 16:20 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【天月来了的贴子】可惜这些在SRENG日志里没法看到：

6、删除病毒添加的IFEO劫持项：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
+ 360rpt.exe c:\windows\system32\dnierjk.exe
+ 360Safe.exe c:\windows\system32\dnierjk.exe
+ 360tray.exe c:\windows\system32\dnierjk.exe
+ adam.exe c:\windows\system32\dnierjk.exe
+ AgentSvr.exe c:\windows\system32\dnierjk.exe
+ AppSvc32.exe c:\windows\system32\dnierjk.exe
+ autoruns.exe c:\windows\system32\dnierjk.exe
+ avconsol.exe c:\windows\system32\dnierjk.exe
+ avgrssvc.exe c:\windows\system32\dnierjk.exe
+ AvMonitor.exe c:\windows\system32\dnierjk.exe
+ avp.com c:\windows\system32\dnierjk.exe
+ avp.exe c:\windows\system32\dnierjk.exe
+ CCenter.exe c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe c:\windows\system32\dnierjk.exe
+ EGHOST.exe c:\windows\system32\dnierjk.exe
+ FileDsty.exe c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe c:\windows\system32\dnierjk.exe
+ FYFireWall.exe c:\windows\system32\dnierjk.exe
+ HijackThis.exe c:\windows\system32\dnierjk.exe
+ IceSword.exe c:\windows\system32\dnierjk.exe
+ iparmo.exe c:\windows\system32\dnierjk.exe
+ Iparmor.exe c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe c:\windows\system32\dnierjk.exe
+ kabaload.exe c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR c:\windows\system32\dnierjk.exe
+ KASMain.exe c:\windows\system32\dnierjk.exe
+ KASTask.exe c:\windows\system32\dnierjk.exe
+ KAV32.exe c:\windows\system32\dnierjk.exe
+ KAVDX.exe c:\windows\system32\dnierjk.exe
+ KAVPF.exe c:\windows\system32\dnierjk.exe
+ KAVPFW.exe c:\windows\system32\dnierjk.exe
+ KAVSetup.exe c:\windows\system32\dnierjk.exe
+ KAVStart.exe c:\windows\system32\dnierjk.exe
+ KISLnchr.exe c:\windows\system32\dnierjk.exe
+ KMailMon.exe c:\windows\system32\dnierjk.exe
+ KMFilter.exe c:\windows\system32\dnierjk.exe
+ KPFW32.exe c:\windows\system32\dnierjk.exe
+ KPFW32X.exe c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe c:\windows\system32\dnierjk.exe
+ KRegEx.exe c:\windows\system32\dnierjk.exe
+ KRepair.COM c:\windows\system32\dnierjk.exe
+ KsLoader.exe c:\windows\system32\dnierjk.exe
+ KVCenter.kxp c:\windows\system32\dnierjk.exe
+ KvDetect.exe c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp c:\windows\system32\dnierjk.exe
+ kvol.exe c:\windows\system32\dnierjk.exe
+ kvolself.exe c:\windows\system32\dnierjk.exe
+ KvReport.kxp c:\windows\system32\dnierjk.exe
+ KVScan.kxp c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe c:\windows\system32\dnierjk.exe
+ KVStub.kxp c:\windows\system32\dnierjk.exe
+ kvupload.exe c:\windows\system32\dnierjk.exe
+ kvwsc.exe c:\windows\system32\dnierjk.exe
+ KvXP.kxp c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp c:\windows\system32\dnierjk.exe
+ KWatch.exe c:\windows\system32\dnierjk.exe
+ KWatch9x.exe c:\windows\system32\dnierjk.exe
+ KWatchX.exe c:\windows\system32\dnierjk.exe
+ loaddll.exe c:\windows\system32\dnierjk.exe
+ MagicSet.exe c:\windows\system32\dnierjk.exe
+ mcconsol.exe c:\windows\system32\dnierjk.exe
+ mmqczj.exe c:\windows\system32\dnierjk.exe
+ mmsk.exe c:\windows\system32\dnierjk.exe
+ Navapsvc.exe c:\windows\system32\dnierjk.exe
+ Navapw32.exe c:\windows\system32\dnierjk.exe
+ nod32.exe c:\windows\system32\dnierjk.exe
+ nod32krn.exe c:\windows\system32\dnierjk.exe
+ nod32kui.exe c:\windows\system32\dnierjk.exe
+ NPFMntor.exe c:\windows\system32\dnierjk.exe
+ PFW.exe c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe
+ QHSET.exe c:\windows\system32\dnierjk.exe
+ QQDoctor.exe c:\windows\system32\dnierjk.exe
+ QQKav.exe c:\windows\system32\dnierjk.exe
+ Ras.exe c:\windows\system32\dnierjk.exe
+ Rav.exe c:\windows\system32\dnierjk.exe
+ RavMon.exe c:\windows\system32\dnierjk.exe
+ RavMonD.exe c:\windows\system32\dnierjk.exe
+ RavStub.exe c:\windows\system32\dnierjk.exe
+ RavTask.exe c:\windows\system32\dnierjk.exe
+ RegClean.exe c:\windows\system32\dnierjk.exe
+ rfwcfg.exe c:\windows\system32\dnierjk.exe
+ rfwmain.exe c:\windows\system32\dnierjk.exe
+ rfwsrv.exe c:\windows\system32\dnierjk.exe
+ RsAgent.exe c:\windows\system32\dnierjk.exe
+ Rsaupd.exe c:\windows\system32\dnierjk.exe
+ runiep.exe c:\windows\system32\dnierjk.exe
+ safelive.exe c:\windows\system32\dnierjk.exe
+ scan32.exe c:\windows\system32\dnierjk.exe
+ shcfg32.exe c:\windows\system32\dnierjk.exe
+ SmartUp.exe c:\windows\system32\dnierjk.exe
+ SREng.EXE c:\windows\system32\dnierjk.exe
+ symlcsvc.exe c:\windows\system32\dnierjk.exe
+ SysSafe.exe c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe c:\windows\system32\dnierjk.exe
+ Trojanwall.exe c:\windows\system32\dnierjk.exe
+ TrojDie.kxp c:\windows\system32\dnierjk.exe
+ UIHost.exe c:\windows\system32\dnierjk.exe
+ UmxAgent.exe c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe c:\windows\system32\dnierjk.exe
+ UmxCfg.exe c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe c:\windows\system32\dnierjk.exe
+ UmxPol.exe c:\windows\system32\dnierjk.exe
+ UpLive.exe c:\windows\system32\dnierjk.exe
+ vsstat.exe c:\windows\system32\dnierjk.exe
+ webscanx.exe c:\windows\system32\dnierjk.exe
+ WoptiClean.exe c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}

对于这个，将来再变化的，应该先处理完病毒以后，再去重装系统了。

因为以后再遇到，很难说和上面一样的。
………………

用autoruns（改名运行），删除涉及瑞星的那几个IFEO项。
重启后，瑞星可以处理剩余的那N多IFEO劫持项。这可能算是瑞星的一个进步吧。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-05-15 13:29 \| 显示全部短消息资料字号：小中大 1楼关于病毒cbkdkiw.exe 此毒可经U盘等移动存贮介质传播，并利用IFEO劫持破坏多种安全软件/工具加载运行。杀毒的关键是——彻底删除插入lsass.exe进程中的病毒模块C:\windows\system32\RAVWL.DLL。一、SRENG日志所见异常项：启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <exkataj><C:\windows\system32\cbkdkiw.exe> [] <wpqggej><C:\windows\system32\dnierjk.exe> [] ================================== 服务 [WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start] <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A> ================================== 正在运行的进程 [PID: 536][C:\windows\system32\dnierjk.exe] [N/A, ] [PID: 1140][C:\windows\system32\cbkdkiw.exe] [N/A, ] ================================== Autorun.inf [D:\] [AutoRun] open=wpqggej.exe shellexecute=wpqggej.exe shell\Auto\command=wpqggej.exe ———————————————— 二、手工杀毒流程: 1、将IceSword.exe改名运行。 2、用IceSword禁止进程创建；结束病毒进程（图1）并删除下列病毒文件： C:\windows\system32\dnierjk.exe C:\windows\system32\cbkdkiw.exe C:\windows\system32\RAVWL.DLL（已经插入到lsass.exe进程中）各分区根目录下的wpqggej.exe和autorun.inf 3、用IceSword找到并删除下列病毒启动项、服务项： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <exkataj><C:\windows\system32\cbkdkiw.exe> [] <wpqggej><C:\windows\system32\dnierjk.exe> [] [WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start] <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A> 4、取消IceSword的“禁止进程创建”。点击IceSword工具栏上的“文件”、“重启并监视”。 5、重启后，删除当前用户文件夹中的病毒文件（图2）。 6、删除病毒添加的IFEO劫持项： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options + 360rpt.exe c:\windows\system32\dnierjk.exe + 360Safe.exe c:\windows\system32\dnierjk.exe + 360tray.exe c:\windows\system32\dnierjk.exe + adam.exe c:\windows\system32\dnierjk.exe + AgentSvr.exe c:\windows\system32\dnierjk.exe + AppSvc32.exe c:\windows\system32\dnierjk.exe + autoruns.exe c:\windows\system32\dnierjk.exe + avconsol.exe c:\windows\system32\dnierjk.exe + avgrssvc.exe c:\windows\system32\dnierjk.exe + AvMonitor.exe c:\windows\system32\dnierjk.exe + avp.com c:\windows\system32\dnierjk.exe + avp.exe c:\windows\system32\dnierjk.exe + CCenter.exe c:\windows\system32\dnierjk.exe + ccSvcHst.exe c:\windows\system32\dnierjk.exe + EGHOST.exe c:\windows\system32\dnierjk.exe + FileDsty.exe c:\windows\system32\dnierjk.exe + FTCleanerShell.exe c:\windows\system32\dnierjk.exe + FYFireWall.exe c:\windows\system32\dnierjk.exe + HijackThis.exe c:\windows\system32\dnierjk.exe + IceSword.exe c:\windows\system32\dnierjk.exe + iparmo.exe c:\windows\system32\dnierjk.exe + Iparmor.exe c:\windows\system32\dnierjk.exe + isPwdSvc.exe c:\windows\system32\dnierjk.exe + kabaload.exe c:\windows\system32\dnierjk.exe + KaScrScn.SCR c:\windows\system32\dnierjk.exe + KASMain.exe c:\windows\system32\dnierjk.exe + KASTask.exe c:\windows\system32\dnierjk.exe + KAV32.exe c:\windows\system32\dnierjk.exe + KAVDX.exe c:\windows\system32\dnierjk.exe + KAVPF.exe c:\windows\system32\dnierjk.exe + KAVPFW.exe c:\windows\system32\dnierjk.exe + KAVSetup.exe c:\windows\system32\dnierjk.exe + KAVStart.exe c:\windows\system32\dnierjk.exe + KISLnchr.exe c:\windows\system32\dnierjk.exe + KMailMon.exe c:\windows\system32\dnierjk.exe + KMFilter.exe c:\windows\system32\dnierjk.exe + KPFW32.exe c:\windows\system32\dnierjk.exe + KPFW32X.exe c:\windows\system32\dnierjk.exe + KPfwSvc.exe c:\windows\system32\dnierjk.exe + KRegEx.exe c:\windows\system32\dnierjk.exe + KRepair.COM c:\windows\system32\dnierjk.exe + KsLoader.exe c:\windows\system32\dnierjk.exe + KVCenter.kxp c:\windows\system32\dnierjk.exe + KvDetect.exe c:\windows\system32\dnierjk.exe + KvfwMcl.exe c:\windows\system32\dnierjk.exe + KVMonXP.kxp c:\windows\system32\dnierjk.exe + KVMonXP_1.kxp c:\windows\system32\dnierjk.exe + kvol.exe c:\windows\system32\dnierjk.exe + kvolself.exe c:\windows\system32\dnierjk.exe + KvReport.kxp c:\windows\system32\dnierjk.exe + KVScan.kxp c:\windows\system32\dnierjk.exe + KVSrvXP.exe c:\windows\system32\dnierjk.exe + KVStub.kxp c:\windows\system32\dnierjk.exe + kvupload.exe c:\windows\system32\dnierjk.exe + kvwsc.exe c:\windows\system32\dnierjk.exe + KvXP.kxp c:\windows\system32\dnierjk.exe + KvXP_1.kxp c:\windows\system32\dnierjk.exe + KWatch.exe c:\windows\system32\dnierjk.exe + KWatch9x.exe c:\windows\system32\dnierjk.exe + KWatchX.exe c:\windows\system32\dnierjk.exe + loaddll.exe c:\windows\system32\dnierjk.exe + MagicSet.exe c:\windows\system32\dnierjk.exe + mcconsol.exe c:\windows\system32\dnierjk.exe + mmqczj.exe c:\windows\system32\dnierjk.exe + mmsk.exe c:\windows\system32\dnierjk.exe + Navapsvc.exe c:\windows\system32\dnierjk.exe + Navapw32.exe c:\windows\system32\dnierjk.exe + nod32.exe c:\windows\system32\dnierjk.exe + nod32krn.exe c:\windows\system32\dnierjk.exe + nod32kui.exe c:\windows\system32\dnierjk.exe + NPFMntor.exe c:\windows\system32\dnierjk.exe + PFW.exe c:\windows\system32\dnierjk.exe + PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe + QHSET.exe c:\windows\system32\dnierjk.exe + QQDoctor.exe c:\windows\system32\dnierjk.exe + QQKav.exe c:\windows\system32\dnierjk.exe + Ras.exe c:\windows\system32\dnierjk.exe + Rav.exe c:\windows\system32\dnierjk.exe + RavMon.exe c:\windows\system32\dnierjk.exe + RavMonD.exe c:\windows\system32\dnierjk.exe + RavStub.exe c:\windows\system32\dnierjk.exe + RavTask.exe c:\windows\system32\dnierjk.exe + RegClean.exe c:\windows\system32\dnierjk.exe + rfwcfg.exe c:\windows\system32\dnierjk.exe + rfwmain.exe c:\windows\system32\dnierjk.exe + rfwsrv.exe c:\windows\system32\dnierjk.exe + RsAgent.exe c:\windows\system32\dnierjk.exe + Rsaupd.exe c:\windows\system32\dnierjk.exe + runiep.exe c:\windows\system32\dnierjk.exe + safelive.exe c:\windows\system32\dnierjk.exe + scan32.exe c:\windows\system32\dnierjk.exe + shcfg32.exe c:\windows\system32\dnierjk.exe + SmartUp.exe c:\windows\system32\dnierjk.exe + SREng.EXE c:\windows\system32\dnierjk.exe + symlcsvc.exe c:\windows\system32\dnierjk.exe + SysSafe.exe c:\windows\system32\dnierjk.exe + TrojanDetector.exe c:\windows\system32\dnierjk.exe + Trojanwall.exe c:\windows\system32\dnierjk.exe + TrojDie.kxp c:\windows\system32\dnierjk.exe + UIHost.exe c:\windows\system32\dnierjk.exe + UmxAgent.exe c:\windows\system32\dnierjk.exe + UmxAttachment.exe c:\windows\system32\dnierjk.exe + UmxCfg.exe c:\windows\system32\dnierjk.exe + UmxFwHlp.exe c:\windows\system32\dnierjk.exe + UmxPol.exe c:\windows\system32\dnierjk.exe + UpLive.exe c:\windows\system32\dnierjk.exe + vsstat.exe c:\windows\system32\dnierjk.exe + webscanx.exe c:\windows\system32\dnierjk.exe + WoptiClean.exe c:\windows\system32\dnierjk.exe 7、删除病毒添加的注册表垃圾： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20} 图1 附件: 文件名:1558472007515132022.jpg 下载次数:303 文件类型:image/pjpeg 文件大小: 上传时间:2007-5-15 13:29:31 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-05-16 01:34:21
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于病毒cbkdkiw.exe

关于病毒cbkdkiw.exe

附件:

文件名:1558472007515132022.jpg 下载次数:303 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(132389); 上传时间:2007-5-15 13:29:31 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472007515132042.jpg 下载次数:245 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(53894); 上传时间:2007-5-15 13:30:43 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛关于病毒cbkdkiw.exe

文件名:1558472007515132022.jpg

下载次数:303

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-15 13:29:31

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472007515132042.jpg

下载次数:245

文件类型:image/pjpeg

文件大小:

上传时间:2007-5-15 13:30:43

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01