另开新帖的目的是为了便于以后搜索~~~方便~~~
病毒文件名:vlskjgs.exe
病毒行为:复制自身到各个根目录下,并添加autorun.inf;释放dtstorp.exe、ouvjwsc.exe、meex.com到System32目录下;修改注册表实现自启动、[屏蔽]杀毒软件启动/运行/安装进程、破坏安全模式启动、网络启动等等
病毒处理办法:关闭其他应用程序,双击运行附件里的VirusKiller.bat。运行完毕后电脑会自动重起。安全模式、隐藏文件等问题均可修复。里面的最后一句命令是立即强制重起,如果你想手动重启,请删除最后一句。
病毒行为具体分析:
1,修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为0,实现隐藏自身的目的。
2,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer添加NoDriveTypeAutorun,值为145,应该是隐藏分区右键里的"AutoRun"项--不晓得对不对
3,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加haqeyfy、vlskjgs实现开机自启动
4,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加如下项:
Quote:
360rpt.exe
360Safe.exe
360tray.exe --以上为360安全卫士的进程
adam.exe
AgentSvr.exe --貌似是Mcafee/瑞腥/AntiVir的,具体的记不清楚咯
AppSvc32.exe --同上
autoruns.exe --系统辅助工具AntoRuns
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com --卡巴斯基命令行主程序
avp.exe --卡巴斯基主程序
CCenter.exe --瑞腥
ccSvcHst.exe --瑞腥?赛gate铁克?记不清咯
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
HijackThis.exe --系统扫描工具HiJackThis
IceSword.exe --安全工具IceSword
iparmo.exe
Iparmor.exe --以上两个为木马克星的主进程
isPwdSvc.exe --貌似是某防火墙的进程
kabaload.exe --360安全卫士豪华版/迅雷的卡巴加载程序?
KaScrScn.SCR --金山毒霸/江民的屏幕保护扫描程序
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe --以上为金山毒霸杀毒软件&金山网镖的进程
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe --以上为江民杀毒软件&江民防火墙的进程
loaddll.exe
MagicSet.exe --超级兔子
mcconsol.exe
mmqczj.exe --木马XX?
mmsk.exe --木马杀客
Navapsvc.exe
Navapw32.exe --诺顿?
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe --以上三个为NOD32杀毒软件的进程
PFW.exe
PFWLiveUpdate.exe --天网?
QHSET.exe
QQDoctor.exe --QQDoctor……
QQKav.exe --QQ尾巴专杀工具
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
rfwmain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe --以上为瑞腥杀毒软件&防火墙&卡卡助手的进程
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe --瑞腥的升级程序?
SREng.EXE --System Repair Engineer
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe --TrojanDetector
Trojanwall.exe
TrojDie.kxp --江民杀毒软件内嵌的专杀木马组件
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe --以上为Tiny Firewall的进程
upiea.exe --插件免疫Upiea.exe
UpLive.exe
vsstat.exe
webscanx.exe
WoptiClean.exe --windows优化大师
并在其下建立键名Debugger,值为病毒进程路径,目的是利用病毒文件[屏蔽]杀毒软件的启动/运行/安装进程。从以上结果可以看出,该病毒基本上把国内流行的杀毒软件/防火墙/系统辅助工具,甚至是QQDoctor……都列入了黑名单。可谓“上至八十老妪、下至三岁Young Girl”都不放过……
5,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},破坏安全模式以及网络启动。
++++++++++++++++++++++++++++++++++++++++++++++
汗,附件忘记上传了……
[ 此贴被百年孤独在2007-05-26 12:51重新编辑 ]