此毒来源于被挂木马的网页。这就是它的“尊容”:
这个网页上挂的木马下载器变种很快。昨天到今天,我就见到了3个不同的变种。前两个提交给瑞星后,瑞星2010已经能杀。新出现的变种,瑞星2010最新病毒库(22.38.05.03)不报,且可在瑞星2010默认设置监控下顺畅运行,瑞星2010无任何提示。
中此毒后的明显症状是:任务栏中瑞星小绿伞消失(RavMonD.exe进程依然存在);用户打开IceSword后,IceSword窗口被此毒关闭。
使用瑞星2010的“应用程序控制”,可以手工杀灭此毒。操作流程如下:一、在瑞星2010的“应用程序访问控制”中设置规则,禁止任何程序访问下列文件或文件夹:C:\kfnainfs.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp
C:\Program Files\Internet Explorer\IETimbar
C:\Windows\Fonts\lanjica.ini
C:\Windows\system\svhost.exe
C:\Windows\system32\winaeg.ime(此毒的主角儿之一。中此毒后难杀的原因之一。)
C:\WINDOWS\Tasks\User_Feed_Synchronization-{8166F633-A6E9-48A8-90E2-737BCDC202CA}.job
瑞星2010的“应用程序访问控制”的设置操作示例见下图:
二、清理注册表:1、展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\
删除:E0240804
注:不同电脑,因安装的输入法数目不同,此键名可能有所不同。请核实右栏中的“Ime File”的数据值:WINAEG.IME
2、展开:HKEY_CURRENT_USER\Keyboard Layout\Preload
删除:1 (键值E0240804)
删除:7 (键值E0240804)
3、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" www.07129.com"改为:
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\
4、展开:HKEY_CLASSES_ROOT\CLSID\{1163E531-B58E-4BB9-B877-0906A0A22AEC}\InprocServer32
删除:@="C:\\PROGRA~1\\INTERN~1\\IETimbar\\IETimbar.dll"。或删除整个{1163E531-B58E-4BB9-B877-0906A0A22AEC}
5、HKEY_CLASSES_ROOT\
删除:IETimbar.CRNP
6、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
删除:{1163E531-B58E-4BB9-B877-0906A0A22AEC}
7、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
删除:IETimbar
8、展开:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:"Start Page"="www.07129.com",或将此键值改为你自己原先设定的网页url。
三、重启系统。待所有启动加载的程序加载完成、进入用户桌面后,取消第一步设定的“应用程序控制”规则;删除下列病毒文件:
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
