样本来源：卡饭救援区手工杀毒show活动
文件:甲虫.exe
大小: 57962 字节
文件版本: 3.02
修改时间: 2009年7月9日, 16:52:51
MD5: A4DF3BCC1B7493CAE823AE69381A8B0C
SHA1: E0466D5F8E222C764F6652A0D2AEA14AD3D1636B

没啥技术含量，都不叫手工查杀了，因为完全是利用的工具进行清理病毒的

此样本长得挺好的，俗话说长得越好看就越危险

 附件: 您所在的用户组无法下载或查看附件
双击运行，自动消失

 附件: 您所在的用户组无法下载或查看附件
随后我就左点点，有点点的让病毒充分运行，查看中毒情况，分析病毒的行为
中毒之后第一反应就是打开任务管理器查看可疑进程，但是发现系统的权限被修改，并且停用了任务管理器，

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
想到任务管理被停用，到组策略看一下，但是在查看的时候发现组策略好像也被动了手脚，点击任何选项没有什么反应，

 附件: 您所在的用户组无法下载或查看附件
然后打开我的电脑看看各个磁盘都是什么情况，磁盘都被共享了，双击磁盘，卡了一下感觉有点不对劲，第一反应又再次触发病毒，然后我右键看了一下，一看就是被病毒修改了，在后面发现每个磁盘里都Autorun.ini文件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
每个磁盘里面多了几个异常的快捷方式，并且跟可以的是那里还写的是Internet快捷方式，而且名字很诱人，这一点可以判断病毒利用社会工程学诱惑我们去点击查看，使得病毒再一次运行，右键属性，快捷方式的路径一定指向病毒，然后想去掉隐藏属性，但是没有“文件夹选项”，可以判断是病毒修改

 附件: 您所在的用户组无法下载或查看附件
[attachimg]595255[/attachimg]
考虑到修改不了隐藏属性，就想到winrar压缩文件的工具，看看能否打开，呵呵，看样子没有被劫持，查看了每个磁盘，都有猫腻，还有在查看桌面的时候，发现腾讯QQ的图标别修改成病毒的图标了，在查看时发现那些可疑快捷方式的创建时间有问题，得以断定系统时间被改，其目的是让杀毒软件过期，并且也看到了Antorun.ini这个文件，证明上面的猜测没有错，

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
第一反应砍掉，但是没有成功，看提示是在SDGames.exe这里卡住的，发现这个正是病毒的源文件，说什么磁盘未满就可以断定病毒文件一定有进程在运行，然后我就拿出XueTr0.32看看能否运行，呵呵，这个也没有别劫持，打开一看发现很多可疑进程，发现还有很多cmd进程，这时我就判断应该是病毒调用cmd进程干坏事，和“极虎”的动作差不多，这个cmd要结束进程，不能一时冲动删除哦！！其他的直接强制删之，随后我在用winrar压缩工具到各个盘符下删除病毒创建的文件就成功了

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件
删除之后，然后又在XueTr0.32里看看还有啥猫腻，呵呵，发现不少，映像劫持、文件关联被改，在网络链接那里没有什么外网Ip，看样子不是下载者

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

考虑到最近修改主页问题存在很多，习惯的就是看一下IE是否别修改，呵呵，被修改了，但是别修改的主页过期了，或者和这个病毒老的缘故，我就尝试用FixIE_Plus扫描一下，发现几个猫腻，找到直接删除


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件



用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)

不弄这些了，先把映像劫持，还有文件关联修复再说，找出了两个工具SReng和SmtDel，一个修复映像劫持一个修复文件关联，还修复一下系统权限，像那些注册表什么的都打不开

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
重启之后，发现注册表好了，但是任务管理器还没有好，直接到组策略设置一下

 附件: 您所在的用户组无法下载或查看附件
随后，重启电脑，这回病毒清理的差不多了，突然发现卓面的那个QQ图标还有解决呢，从中发现，QQ快捷方式的路径出了问题，那个QQ文件被感染了，无论是卸载还是启动都会再次触发病毒。

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
然后看看，还有哪些系统权限没有改过来，发现在工具栏里右键属性还是不行，总是提示系统权限问题，没办法工具修复不了，直接到注册表看看去，找到注册表键值，使用QueryReg注册表获取工具，获取
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
这两个键值，发现了问题，把
 附件: 您所在的用户组无法下载或查看附件 把1改成0，结束结束explorer.exe自启动，问题解决

 附件: 您所在的用户组无法下载或查看附件
这个问题解决了，但是语言栏有没有了，而且那个语言栏成灰色了，通过改一处就解决了

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
随后，想到语言栏问题，就到运行—msconfig看看，问题又出现了，看图

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
随后，就没有了，问题解决，但是又有发现，看图
没办法直接在这里改不了，只能到系统里C盘里找到这个文件，进行修改，在修改的时候又发现问题，提示文件只读，唉！！右键—属性—只读去掉，直接修改文件，问题解决！

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
还有就是清理一下系统缓存，一般病毒都会在这里留下痕迹的

 附件: 您所在的用户组无法下载或查看附件
最后，还剩下一个问题，就是所有的磁盘都被共享了，这个直接右键属性修改就行。
还有就是在看日志的时候,发现几个病毒创建的驱动直接删除了
最后附上Autnrun.ini
[Autorun]
OPEN=SDGames.exe
Shell\Open=打开(^&O)
Shell\Open\Command=SDGames.exe
Shell\Explore=资源管理器(^&X)
Shell\Explore\Command=SDGames.exe

 附件: 您所在的用户组无法下载或查看附件

我这帖子都不好意上人家卡饭论坛发，也就是发到这里给大家分享一下，通过大家给自己一个肯定

唉，写的自己很不满意，和人家比起来差一个等级呢

大家指点指点，有什么错误提出来

这贴子哪叫什么手工查杀，就完全用的工具

就会用工具

占楼备用

说实话，我这都是皮毛

都不敢拿出去，我这哪叫什么分析病毒，就是利用工具瞎蒙碰死耗子