中毒症状如下：
瑞星监控被关 
无法显示隐藏文件
下载木马
C:\WINDOWS\WinForm.exe> []
C:\WINDOWS\DiskMan32.exe> []
C:\WINDOWS\NVDispDrv.exe> []
C:\WINDOWS\upxdnd.exe> []
C:\WINDOWS\msccrt.exe> []
C:\WINDOWS\Kvsc3.exe> []
C:\WINDOWS\mppds.exe> [N/A]
C:\WINDOWS\AVPSrv.exe> [N/A]
C:\WINDOWS\cmdbcs.exe> []
C:\WINDOWS\DbgHlp32.exe> [N/A]

每个盘下生成autorun.inf 和auto.exe

注册表里不正常项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><; C:\WINDOWS\WinForm.exe> []
<DiskMan32><C:\WINDOWS\DiskMan32.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<AVPSrv><C:\WINDOWS\AVPSrv.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [N/A]


服务
[A8077E40 / A8077E40][Stopped/Auto Start]
<C:\WINDOWS\system32\32620A20.EXE -k><Microsoft Corporation>

每个盘下的autorun.inf  auto.exe

C:\WINDOWS\system32\  下的

    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]

下面开始处理：


奇怪的是：扫描出来的日志中
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
这些东西在注册表里却没有显示。

在正常模式中，用WINRAR删除autorun.inf  auto.exe删除就被恢复回去

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><; C:\WINDOWS\WinForm.exe> []
<DiskMan32><C:\WINDOWS\DiskMan32.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<AVPSrv><C:\WINDOWS\AVPSrv.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [N/A]
这些可以搞掉


进入安全模式
用WINRAR删除autorun.inf  auto.exe后
用SRENG查看启动项目  注册表 就能发现不正常的东西
由于没有虚拟机，实机搞的，比较仓促，没有弄下来
只记得，在IE里也加了什么东西，其他就是一些DLL文件

用SRENG删除了注册表以后，删除服务
[A8077E40 / A8077E40][Stopped/Auto Start]
<C:\WINDOWS\system32\32620A20.EXE -k><Microsoft Corporation>
PS：32620A20.EXE 是随即生成

用WINRAR删除
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
C:\WINDOWS\system32\32620A20.EXE
C:\WINDOWS\system32\32620A20.dll

重起
瑞星监控打开了。用卡卡上网助手 修复了 显示隐藏文件

全盘杀毒（无病毒）。没有问题了

PS：样本还在，有兴趣的朋友可以跟帖要

 

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

引用:

【xqb761的贴子】给我个,我还没玩够~~呵呵~~ ………………

发了

引用:

【HOSTのS的贴子】等待样本中......  ………………

怎么给你？

【回复“baohe”的帖子】
猫叔，原来我按老方法告诉一个论坛的朋友怎么搞，他怎么都搞不定。我郁闷了，把样本要来自己搞了搞

后来发现安全模式是这个病毒的弱点...
如果跟AV一样，把安全模式破坏了的话...
还没想出什么办法

PS：不知道猫叔的着数，开机加载冰刃启动，禁止进程创建，再删除。能不能防止auto.exe autorun.inf的自我保护了

哈哈，乱想的

猫叔辛苦了