此贴部分资料来源于:CISRT

此贴为病毒解决方案专用贴，请不要回贴,谢谢!


艾妮变种 wab32res.exe directdb.exe 解决方案
2007-04-15 13:28

档案编号：CISRT2007049 病毒名称：Trojan-Downloader.Win32.Small.elo（Kaspersky） 病毒别名： 病毒大小：10,240 字节 加壳方式： 样本MD5：5dadd1ba195e17f1074e3f6d71f1016f 样本SHA1：026e3f1c6d6600dfa2a2aa71e9148621a8fbcc84 发现时间：2007.4 更新时间：2007.4.12 关联病毒： 传播方式：通过恶意网站传播，感染exe可执行文件 技术分析 ========== 变种： 【CISRT2007041】利用ani漏洞传播的蠕虫 MyInfect麦英 sysload3.exe 解决方案 【CISRT2007042】利用ani漏洞传播的蠕虫变种 MyInfect麦英 sysload3.exe 解决方案 【CISRT2007043】利用ani漏洞传播的蠕虫变种 MyInfect sysbmw.exe 解决方案 和之前的变种稍有不同，由主程序释放一个子程序，感染文件、下载病毒等行为由释放出的子程序完成。 病毒主程序运行后释放子程序并将其运行： %ProgramFiles%\Common Files\System\directdb.exe 调用IE（iexplore.exe）访问网络下载配置信息，根据下载的配置信息可能还会下载其它病毒、木马或恶意程序，修改hosts文件屏蔽安全站点或其它病毒站点，检查并下载自身更新。 开启记事本进程（notepad.exe）进行感染文件的操作，感染除系统分区外其它分区的exe文件。感染文件的方式和之前变种类似，被感染文件除了前端的病毒体（directdb.exe+被感染文件图标）外，尾部还有8字节信息。 创建主程序副本： %ProgramFiles%\Common Files\System\wab32res.exe 创建启动项： [url=file:///F:/viewthread%5B1%5D.htm###][Copy to clipboard][/url] CODE: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe" 尝试向A驱动器复制病毒副本： A:\tool.exe A:\autorun.inf autorun.inf内容： [url=file:///F:/viewthread%5B1%5D.htm###][Copy to clipboard][/url] CODE: [autorun] Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开 病毒内文字信息： QUOTE: Today is a good day!Isn't it?    xV4 Mutex:Hello Dolly 清除步骤 ========== 1. 结束notepad.exe进程和iexplore.exe进程 2. 删除病毒启动项： [url=file:///F:/viewthread%5B1%5D.htm###][Copy to clipboard][/url] CODE: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe" 3. 删除文件： %ProgramFiles%\Common Files\System\wab32res.exe %ProgramFiles%\Common Files\System\directdb.exe %ProgramFiles%\Common Files\System\temp.ini %ProgramFiles%\Common Files\System\avp.ini %ProgramFiles%\Common Files\System\temp.txt 4. 使用反病毒软件进行全盘扫描，清除被感染的exe

[ 本帖最后由 卖身葬情人 于 2007-6-22 20:58 编辑 ]

网游木马 Winhttps.dll alg32.exe 解决方案

档案编号：CISRT2007052
病毒名称：Trojan-PSW.Win32.OnLineGames.nw（Kaspersky）
病毒别名：
病毒大小：72,965 字节
加壳方式：FSG
样本MD5：03d77dbc78f403e9c6ad979d335352de
样本SHA1：4c6907e08799f75d8c0c1e8bc07e464be8bb3e5c
发现时间：2007.4
更新时间：2007.4
关联病毒：
传播方式：通过恶意网页传播、其它木马下载


技术分析
==========

这是一个通过劫持Winsock2盗取信息的木马，木马运行后释放dll到系统目录：
%System%\Winhttps.dll

创建劫持Winsock2信息，在SREngLOG里显示形如：

($('code0'));">[Copy to clipboard]:MSAFD Tcpip [TCP/IP]
    C:\WINDOWS\system32\Winhttps.dll(, N/A)
MT-TcpFilter
    C:\WINDOWS\system32\Winhttps.dll(, N/A)
木马在系统目录下创建如下副本：
%System%\alg32.dat
%System%\alg32.exe
%System%\Winhttps.dat

生成一个配置文件%Windows%\MirSet.ini，内容指向原主程序路径：

($('code1'));">[Copy to clipboard]:[ProcInfo]
SouInstPath=alg32.exe
清除步骤
==========

1. 在SREng的“系统修复”->“Winsock 供应者”里删除木马创建的Winsock2信息：
%System%\Winhttps.dll对应的两项：
MSAFD Tcpip [TCP/IP]
MT-TcpFilter

2. 重新启动计算机

3. 删除文件：
%System%\alg32.dat
%System%\alg32.exe
%System%\Winhttps.dat
%System%\Winhttps.dll

4. 如果因操作失败或其它误操作导致网络连接问题，可以尝试使用Winsock XP Fix等工具恢复，也可以尝试使用SREng的“重置所有内容为默认值”恢复。

[ 本帖最后由 卖身葬情人 于 2007-4-23 20:32 编辑 ]

档案编号：CISRT2007051
病毒名称：Trojan-PSW.Win32.OnLineGames.oe（Kaspersky）
病毒别名：Trojan.PSW.OnlineGames.alw（瑞星）
　　　　　 Win32.Troj.OnLineGamesT.oe.17920（毒霸）
病毒大小：18,944 字节
加壳方式：
样本MD5：9ce9715b5df2b8f93ac198e4ca59afb5
样本SHA1：875434ce0af5a5ca96dd5e21f27b736f1b6c8925
发现时间：2007.4
更新时间：2007.4
关联病毒：
传播方式：恶意网页、其它病毒或木马下载


技术分析
==========

变种：
【CISRT2007005】、【CISRT2007013】、【CISRT2007036】、【CISRT2007037】、【CISRT2007038】、【CISRT2007045】、【CISRT2007046】、【CISRT2007047】
内容来源电脑硬件网


网游木马，运行后复制自身到系统目录：
%Windows%\shualai.exe
释放dll注入进程：
%System%\shualai.dll

创建启动项：

($('code0'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"shualai"="%Windows%\shualai.exe /i"
尝试向卡巴斯基（Kaspersky）警报和瑞星注册表监控提示对话框发送“允许”和“跳过”命令。


清除步骤
==========

1. 删除木马启动项：

($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"shualai"="%Windows%\shualai.exe /i"
2. 重新启动计算机

3. 删除木马文件：
%Windows%\shualai.exe
%System%\shualai.dll

[ 本帖最后由 卖身葬情人 于 2007-4-23 20:33 编辑 ]

盗Q木马 NewInfo.dll system.2dt 解决方案

档案编号：CISRT2007050
病毒名称：Trojan-PSW.Win32.Delf.qc（Kaspersky）
病毒别名：Win32.Troj.OnlineGames.t.50688（毒霸）
病毒大小：22,890 字节
加壳方式：UPX
样本MD5：85a7faf595b96d095e807503b62eca2f
样本SHA1：a94cf396e2000541ddcb67b7de82cb578690258c
发现时间：2007.4
更新时间：2007.4
关联病毒：
传播方式：通过恶意网页传播、其它木马下载


技术分析
==========

变种：
【CISRT2006032】盗Q木马 system.jmp system.sys 解决方案
【CISRT2006056】盗Q木马 system.jmp system16.sys 解决方案
【CISRT2006073】盗Q木马 system.jmp system18.sys 解决方案
【CISRT2007020】盗Q木马 system.jmp SystemKb.sys 解决方案 内容来自清除病毒

盗Q木马，运行后将自身复制到：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\system.2dt
并释放dll注入进程：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\NewInfo.dll

创建ShellExecuteHooks启动信息：

($('code0'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A6011F8F-A7F8-49AA-9ADA-49127D43138F}"=""

[HKEY_CLASSES_ROOT\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\NewInfo.dll"
在注册表中添加信息：

($('code1'));">[Copy to clipboard]:[HKEY_CURRENT_USER\Software\Tencent\IeHook]
"First"
木马还会尝试访问网络下载其它病毒、木马或恶意程序。


清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks项：

($('code2'));">[Copy to clipboard]:[HKEY_CLASSES_ROOT\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}] 内容来自专杀工具

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A6011F8F-A7F8-49AA-9ADA-49127D43138F}"
2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\system.2dt
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\NewInfo.dll

4. 删除注册表内容：

($('code3'));">[Copy to clipboard]:[HKEY_CURRENT_USER\Software\Tencent\IeHook]

[ 本帖最后由 卖身葬情人 于 2007-4-23 20:35 编辑 ]

木马 windhcp.ocx 解决方案

病毒名称：N/A（Kaspersky）
病毒别名：
病毒大小：48,128 字节
加壳方式：PE_Patch.PECompact PecBundle PECompact
样本MD5：c2b617fd148e207df7d11bd70f509dae
样本SHA1：f683d68f0c2c86d1355de08e3ba02003b716f504
发现时间：2006.12
更新时间：2006.12
关联病毒：
传播方式：恶意网页、其它病毒下载


技术分析
==========

此木马为【CISRT2006069】setvp.exe windhcp.dll 解决方案的变种，主程序运行后释放windhcp.ocx到系统目录：
%System%\windhcp.ocx
并注入Explorer.exe进程，创建服务：


QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc]
显示名：Windows DHCP Service
描述：为远程计算机注册并更新 IP 地址。
可执行文件的路径：%System%\rundll32.exe windhcp.ocx,start


清除步骤
==========

1. 删除服务项：


CODE:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc]


2. 重新启动计算机

3. 删除文件：
%System%\windhcp.ocx

[ 本帖最后由 卖身葬情人 于 2007-6-18 18:03 编辑 ]

【CISRT2007054】木马 msdebug.dll 解决方案
病毒名称：（Kaspersky）
病毒别名：
病毒大小：22,016 字节
加壳方式：PE_Patch.Stolen
样本MD5：ba95b9dee1e65c3b4972dd3b8d4873e6
样本SHA1：24ba9fe8f15976696caaa1cd1e053517312cd78b<br />
发现时间：2007.5
更新时间：2007.5
关联病毒：
传播方式：恶意网页、其它病毒下载

技术分析========

木马被运行后释放dll文件到系统目录：
%System%\msdebug.dll

创建服务：

引用:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc
显示名：Win32 Debug Service
描述：为计算机系统提供32位调试服务。如果此服务被禁用，所有明确依赖它的服务都将不能启动。
可执行文件的路径：%System%\rundll32.exe msdebug.dll,input

清除步骤===========

1、删除服务项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc]

2、重新启动计算机

3、删除文件：%System%\msdebug.dll

[ 本帖最后由 卖身葬情人 于 2007-6-22 20:54 编辑 ]

Kvsc3.exe、RemoteDbg.dll、windds32.dll、xywrebh.exe、rundl132.exe清除辦法


現象描述：病毒於每天上午11:00準時發作，發作現象是彈出N個CMD窗口；中毒後無法打開一些網頁，在百度搜索裡搜索「病毒」二字瀏覽器即自動關閉。無法打開一些安全軟件。
清除步驟:
1、解除IFEO劫持

2、用SRE修改註冊表,刪除以下鍵：
<恢復BOOT菜單><c:\windows\BOOT-hf.exe>
<load><C:\WINDOWS\uninstall\rundl132.exe>
<vbcyhid><C:\Program Files\Common Files\System\terebmi.exe>
<xywrebh><C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe>  
<upxdnd><C:\WINDOWS\upxdnd.exe>
<Kvsc3><C:\WINDOWS\Kvsc3.exe>
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<mppds><C:\WINDOWS\mppds.exe>
<twin><C:\WINDOWS\system32\ctfnom.exe>
<{C54C4AFB-8A2A-6C1E-BA41-C10F02940702}><C:\WINDOWS\system32\18.dll>
<{C51C4AFB-8A3A-6C1E-BA41-C20F02940603}><C:\WINDOWS\system32\20.dll>
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>
<fzg><; C:\WINDOWS\Config\svhost32.exe>
<mhs2><; C:\DOCUME~1\new\LOCALS~1\Temp\mhs2.exe>
<rxzs><; C:\DOCUME~1\new\LOCALS~1\Temp\rxzs.exe>
<wlzs><; C:\DOCUME~1\new\LOCALS~1\Temp\wlzs.exe>
<zts2><; C:\DOCUME~1\new\LOCALS~1\Temp\zts2.exe>
<Load>

3、用SRE刪除下面這個服務：
Remote Packet Capture Protocol v.0 (experimental) / rpcapd
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS

4、顯示「受保護的操作系統文件」  
                  使用unlocker刪除以下文件：

C:\WINDOWS\system32\20.dll
C:\WINDOWS\system32\18.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\ctfnom.exe
c:\windows\BOOT-hf.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\Program Files\Common Files\System\terebmi.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\Config\svhost32.exe
C:\DOCUME~1\new\LOCALS~1\Temp\mhs2.exe
C:\DOCUME~1\new\LOCALS~1\Temp\rxzs.exe
C:\DOCUME~1\new\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\new\LOCALS~1\Temp\zts2.exe

木马下载器 wmids.exe 解决方案

病毒名称：Trojan-Downloader.Win32.Delf.bki（Kaspersky）
病毒别名：Win32.DL.Multi.wjc（瑞星）
　　　　　 Win32.PSWTroj.OnlineGames.151552（毒霸）
病毒大小：37,888 字节
加壳方式：PE_Patch.UPX UPX
样本MD5：cfd6dfeba15ca1a8e4e62785cde4eb8d
样本SHA1：c5727423a6a4154f9360e78223bdf9482ef70024
发现时间：2007.6
更新时间：2007.6.6
关联病毒：
传播方式：恶意网页，其它病毒或木马下载


技术分析
==========

木马运行后调用IE进程（iexplore.exe）下载其它木马程序。

复制自身到：
%ProgramFiles%\Common Files\System\wmids.exe
并运行，隐藏自身进程。

创建服务：


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmids]
显示名：Windows Management Instrumentation Driver System
描述：与驱动程序间交换系统信息。
可执行文件的路径：%ProgramFiles%\Common Files\System\wmids.exe


[ 本帖最后由 卖身葬情人 于 2007-7-4 20:21 编辑 ]

木马 ztinetzt.exe ztinetzt.dll 解决方案


病毒名称：Trojan-PSW.Win32.OnLineGames.sc（Kaspersky）
病毒别名：Trojan.PSW.Win32.OnlineGames.cpc（瑞星）
病毒大小：8,644 字节
加壳方式：PE_Patch UPack
样本MD5：bf42b907a78d180e2ce2deeb7c71c526
样本SHA1：693a2609601353f26b6f7c721a1367cc22924252
发现时间：2007.6
更新时间：2007.6.25
关联病毒：
传播方式：恶意网页，其它病毒或木马下载


技术分析
==========

木马运行后复制自身到系统目录：
%System%\ztinetzt.exe
释放dll注入进程：
%System%\ztinetzt.dll

使用cmd /c del命令删除自身原文件。

创建启动项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Autorun14"="%System%\ztinetzt.exe"

如果存在以下安全软件进程，则调用ntsd -c q -p PID命令结束它们：
KVXP.kxp
KRegEx.exe
RUNIEP.EXE
avp.exe

尝试向Kaspersky、瑞星等监控对话框发送确认命令，如“跳过”、“允许”、“确定”、“同意修改”等。



[ 本帖最后由 卖身葬情人 于 2007-7-4 20:20 编辑 ]

netsrvcs.dll,zkqiyq.dll,zkqiyq.sys,yjodcm.dll,yjodcm.sys等的清除指南

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。  
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

2.下载文件强制删除工具（绿色）360FileKill
下载地址及使用方法（图解）看http://hi.baidu.com/teyqiu/blog/ ... f3b5eece1b3e5a.html

复制如下的文件到粘贴板（选中后，按CTRL+C），点导入文件列表按钮，选择“粘贴文件列表”，打勾确认后，点“粉碎选中文件” 即可。
C:\WINNT\System32\netsrvcs.dll
C:\WINNT\system32\zkqiyq.dll
C:\WINNT\system32\yjodcm.dll
C:\WINNT\system32\wrvwaw.dll
C:\WINNT\system32\vhiyrt.dll

3. 重启计算机后，用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“警告！下面的函数内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，是你装杀软后的正常修改。】
==================================
启动项目 -->服务-->Win32服务应用程序    的如下项删除
（运行SRENG--->启动项目--->服务--->win32服务应用程序--->勾选“隐藏已认证的微软项目”--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[Wireless Service / WZCSRVC][Stopped/Disabled]
     <C:\WINNT\System32\rundll32.exe netsrvcs.dll,input><Microsoft Corporation>

==================================
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉，就设置类型为disabled!)
（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[vhiyr / vhiyrt][Running/Boot Start]
     <\SystemRoot\System32\DRIVERS\vhiyrt.sys><N/A>
[wrvwa / wrvwaw][Running/Boot Start]
     <\SystemRoot\System32\DRIVERS\wrvwaw.sys><N/A>
[yjodc / yjodcm][Running/Boot Start]
     <\SystemRoot\System32\DRIVERS\yjodcm.sys><N/A>
[zkqiy / zkqiyq][Running/Boot Start]
     <\SystemRoot\System32\DRIVERS\zkqiyq.sys><N/A>

重启后 删除桌面IE快捷方式 重建一下IE快捷方式