PH2.gif (26.46 KB)

2007-9-29 17:00

, u- n! b* U# {' C" _0 `
金山反病毒中心截获一自称“不是禽兽”的恶性病毒。该病毒入侵用户电脑后，会自行修改文件夹选项，并将隐藏文件夹选项中隐藏文件和文件夹菜单下正常的显示替换成“禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽”.该病毒和AV终结者如出一辙，但该病毒劫持的安全软件数量超过了6、7月份肆虐的AV终结者病毒。: U; p4 ?( _& c

( g) D% q" `' E4 ?5 E典型中毒表现6 K4 f4 A4 V0 p" Z$ l8 q3 Y- M) d
中病毒后，最容易被观察到的现象是弹出广告，任务管理器被禁用，杀毒软件不能正常启动，不能升级，浏览器主页被锁定为www.baidu.com
6 B% s2 S% \4 m/ r- {* w
. k$ z/ `* E8 x7 P4 A& S4 E" a6 w* C详细分析：/ K1 u* v( v/ g6 \
病毒全名：Worm.Downloader.cr.34304     |" Z6 `7 x5 m! L5 k$ G
病毒长度：343042 l& h5 T0 ~; @3 N
威胁级别：★★1 V: n2 c; y' E6 W( l! s% i
病毒类型：蠕虫病毒
1 s& Z6 {3 g4 e. U1 v2 K# C# o2 u7 O+ z5 t8 P/ h$ [; c
简介：
' A) B" P6 U' h" Z这是一个蠕虫病毒。该病毒运行后，会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。: `3 Z0 `7 f. |; z
而且病毒会通过映像劫持的方法，使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页，在打开浏览器时会自行下载病毒，并且弹出广告等行为。* X( u8 D: [' Y6 [' M

$ ]* w9 {8 Y' \病毒行为：: G* @! O: x6 @* ^. _7 a
% H3 Y. ]9 g6 Z, k. f! s0 q1 t6 `
1.病毒运行后，产生以下病毒文件' X% }* J1 o' a" \* N

引用:

$ S# i3 C3 p* f; W6 a$ l$ V%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
: F8 z6 Z! W" n4 m& ], K%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
( Q; o, O8 ~. @! F( \1 x% d& b7 n%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
* n+ P+ n4 I/ V2 S* O%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
4 d. Q9 U8 E+ a: L7 g%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
% e3 D9 ]: V* e+ n" ^* G( n2 g在%windows%\Fonts下添加许多后缀为"fon"的文件
- i8 `1 Q: l: T0 J# j4 h% v在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件2 @. {) K. f) d: Y, |5 S
在%temp%目录下同样产生病毒文件
2 }/ @# F7 C- W$ ~8 y0 o

5 R/ T* a5 S6 C3 l

, U& @3 \! q; ]' |. K" P7 S) n2.在各盘目录下，会生成AUTO病毒，分别是niu.exe和autorun.inf。其中，autorun.inf所指向的病毒是niu.exe，当用户左键双击进入该盘时，病毒随之触发。5 U+ G4 A+ e# L0 _
6 K9 ~6 T# X8 |5 s$ V
3.病毒运行后，任务管理器被屏蔽不可使用(如图)。: J9 y/ ?1 a: @1 M: f# d

1.jpg (7.82 KB)

2007-9-26 13:57

( \8 f6 ]: {+ q& Z# s' e! u7 V, x% f2 J- V$ }
4.病毒运行后，隐藏文件的功能被纂改,并且把文字内容也修改。那句话的全部是“禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽。”（如图）" ?! @. Q5 ^+ b0 x, S

2.jpg (37.21 KB)

2007-9-26 13:57

0 Z+ O( m) ^: O, g$ n6 g
  ?  \! G& d+ |/ Q5 x3 I
5.病毒利用映像劫持的技术，使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看，还有哪个病毒劫持的安全软件比它多。(如图)8 W1 [' `3 ]% I  f

引用:

# x& o  c- C* d) m, m" V( |

3.jpg (25.4 KB)

2007-9-26 13:57

' A# J) {6 [. z% D8 d

/ q6 R6 O4 N- k$ Z; Q6 ~0 V- Y# q2 j5 ?7 J

5 V; }3 \- g3 N% d, B8 y. U# X" h6.病毒把主页修改为www.baidu.com
/ v+ v4 M# \$ Y2 @, a& s7 u* I2 X7 |" ?; w# b
7.会监视窗口，当在浏览器输入与"安全"或"病毒"相关的网站，病毒会把浏览器立即关闭。2 M5 \* @" @2 b: i
( H* [3 K0 x0 ~/ q
8.打开浏览器会弹广告。4 a2 }6 b8 a" p# `6 q

* o1 u6 `% j0 R0 B. A8 N9 X% T& i9.病毒会从以下地址下载更多木马
: k" |! ^$ `5 p+ O

引用:

5 W$ z! n& Z1 O  z& Q, O0 u8 v
http://w.******.com/tempA.exe; G/ d7 a. Y7 j' P. Q
http://w.******.com/tempB.exe! X; \4 G. ]( X$ u
http://w.******.com/tempC.exe
1 B) \' Q' L* p7 ?http://w.******.com/tempD.exe1 w; k% K! R8 O3 n, O
http://w.******.com/tempE.exe: k0 S. n9 O; f! O, n
http://w.******.com/tempF.exe
# C! I* G* a5 J8 x) xhttp://w.******.com/tempG.exe
9 V  N! A0 d5 t8 g, ^1 u4 @! O0 fhttp://w.******.com/tempH.exe
. n7 C) N6 g0 T+ X% S0 ohttp://w.******.com/tempI.exe
* i# k6 M* x$ ]  Zhttp://w.******.com/tempJ.exe% j& G  O# V& h9 n
http://w.******.com/tempK.exe( U  h1 z5 Q1 }% G7 Y- C
http://w.******.com/tempL.exe6 F9 L& L0 v" r0 j& L
http://w.******.com/tempM.exe7 F& ]$ S/ g/ S. u; `
http://w.******.com/tempN.exe
3 g5 j( l" Y/ B1 s8 l, [: ]9 ]http://w.******.com/tempO.exe; t3 m% \! |* T/ m) S
http://w.******.com/tempP.exe  Z4 i  D, z! v4 x) E
http://w.******.com/tempQ.exe3 w0 d- |$ ^0 |& y( |3 p
http://w.******.com/tempR.exe: B. I8 l( A+ Y9 M
http://w.******.com/tempS.exe
9 A" v1 D  O1 xhttp://w.******.com/tempT.exe& w" r8 g( f( d' r: W
http://w.******.com/tempU.exe
* C* Z: [$ o/ r( d, @http://w.******.com/tempV.exe
% b! W( N, v- h! I# s; _http://w.******.com/tempW.exe
$ R+ d7 G+ Z9 T1 g3 p% U

6 y- _" L/ t  T* Z8 C" F

! B- K6 k9 T( _2 g10.通过以下文本里的文件，对以下关键字进行监测，检测后尝试关闭相关网页。http://w.******.com/guanjian.txt，但是这里作者却把两个杀软的名字弄错，（不知是不是故意放卡巴和江民一马）- ]5 F- E6 f5 C( n

引用:

- Q# A, I: _" a4 J木马
2 v3 ~% r. t& ]* ]病毒
/ M" Z+ C" @& S0 ^& |3 x360
+ f' v  A! p  |* Z瑞星; M* W: ~2 f# k6 X
卡吧(错,应为"卡巴")
8 b) ]* F/ Z' s1 J( w! ]4 W金山+ v' y8 t$ B5 |& N" _- H- {
毒霸! }3 M& `+ |. I, k
江名(错,,应为"江民")
' {% C' t4 W4 s% _. K. G

  M/ ]$ Z+ v. A$ c" J9 O2 e' Z+ H

; n" x( }" I, F' \! ~病毒还会利用www.******.com/pu/tj.asp，进行感染量统计。（这是不是病毒商业化运营的统计系统呢？很有可能是的。）
+ c, a1 U' Y- S" f  d) R( k: Y6 J
解决方案：
6 b. u) h/ @. E
7 M$ a8 l- p' }* d* k该病毒的清除，是相对比较麻烦的，尽管如此，请您不要轻易格式化重装，因为病毒还会通过自动播放传播，重装后，很容易再中。2 U6 ^' Z0 r+ q  ~" m' `

8 G+ q1 O, y0 J; ]9 v这个禽兽病毒的处理，和AV终结者病毒相似。我们需要在正常的电脑上下载AV终结者专杀，再COPY到本地计算机，运行专杀工具可修复被破坏的安全模式和映像劫持。然后，杀毒软件就可以正常使用了。# A7 O7 ^9 z& p) G
# ^: k9 t7 x9 m
请点击这里下载AV终结者专杀$ r6 B* B( Y, e$ j; m0 q( O
DubaTool_AV_Killer2.rar (415.15 KB)

DubaTool_AV_Killer2.rar (415.15 KB)
下载次数: 30539

2007-9-29 13:56

# v  a6 ]& f( k: {- s7 X2 O! C3 s% P7 m
这时，再使用资源管理器浏览到金山毒霸的安装目录下（切记不要使用双击磁盘运行程序），执行uplive.exe升级金山毒霸。然后立即全盘杀毒，最后，使用金山清理专家，把病毒修改的注册表项全部修复。因为这个“禽兽”病毒还下载了很多其它病毒在IE缓存文件夹，建议，直接使用清理专家百宝箱中的垃圾文件清理，直接删除这些垃圾文件。
* p8 k2 z* H! K, |* v3 _( |: D9 Y* x7 Z
从这里下载金山清理专家/ b$ i0 c& ^+ a/ |: A( V
http://www.duba.net/ps/kav/kav_dl.shtml
5 s+ }( `. s8 C0 P  J2 C- \* _+ ~9 @6 Y6 L: L4 {" e2 N" Z
手工删除方案：
& Z: L$ r4 B- f) X; L2 G; \8 k2 N
（手工清除适合有经验管理维护windows操作系统的用户，误操作可能会带来意外损失，以下手工清除方案由网友清新阳光提供，原文：http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html）- t9 @; P5 j) e6 i+ ~
( q/ @0 ?( ]* [1 K" F! Y( Y# c

引用:

4 o, x% m- A& q0 B4 j0 ~7 m3 w* z
一、清除病毒主程序' ~2 ]: _* D. k$ a7 b
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip* [6 \) f$ i/ z
sreng http://download.kztechs.com/files/sreng2.zip0 o6 w' |# Y8 B2 ^  {& h+ n
1.解压IceSword122cn.zip把Icesword.exe改名为1.com（使用AV终结者专杀后，可不用修改，既能运行）运行 切换到进程窗口，结束%system32%\crsss.exe进程 （注意是crsss.exe不是csrss.exe，一定不要搞错）
) }5 q! M6 }7 J4 N1 R5 e

1.jpg (99.74 KB)
用冰刃结束病毒进程

2007-9-29 14:20

0 f  D$ a/ P8 x0 V5 F2 Z
2.点击左下角文件按钮 删除如下文件%system32%\crsss.exe和每个分区下的niu.exe和autorun.inf（一定不要落下这一步）
5 v( A4 m" h2 m6 a8 N

2.jpg (43.78 KB)
用冰刃强制删除病毒文件

2007-9-29 14:20

. @1 C! r# f+ O
二、修复被病毒破坏的系统
8 G! q7 \% @, x0 g1.打开sreng启动项目，注册表。删除所有红色的IFEO映像劫持项目，并删除
" P/ E1 F( F: I/ K$ ]. j( z' k( k[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的    <crsss><C:\WINDOWS\system32\crsss.exe>         [N/A]/ s. [2 \9 d, X! ^% |' L
, V7 q) j. c3 R' V7 m7 b3 a. s& c$ m
2.还是使用sreng，修复任务管理器的正常使用。9 I. J+ U8 ^( Z' n5 \  ~4 n. B
步骤：系统修复-Windows Shell/IE，勾选“允许在Windows 2000/XP/Server 2003中使用任务管理器”，设置主页为"about:blank"; P* \" D; @$ I2 p$ Z4 D
允许Internet Explorer选项窗口和选项窗口的所有内容，然后点击修复
# [4 K* b  u- t5 M
# r/ o# t1 a0 Z/ v) l7 k3.sreng中系统修复-高级修复，修复安全模式
* d1 Y9 [& U; a1 X* O, ^( D
) X) d& I9 L3 ?6 f4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容，另存为一个扩展名为reg的文件，复制到带毒电脑上，双击导入。7 E' L& V" _8 E6 R( {
本贴的附件中提供这个fixhidden.reg的文件，下载后解压，在中毒后的电脑上双击就可以导入。
' X! h# U6 [2 P4 P0 g% t2 Y* ?$ {
. a$ A" H# \7 ^( S4 s+ z  }/ ]( s三、清除病毒下载的木马（由于下载的木马随时变化，所以本文中的方法仅供参考，强烈建议您使用金山毒霸升级后全面杀毒）. S7 ~! K2 }& ?

5 ~9 L; j) `& z1 X5 y- j' a使用金山清理专家的文件粉碎器找到以下DLL文件，将其删除。
" B- X, @9 z& e3 e3 E7 QC:\WINDOWS\system32\kvmxdma.dll
6 R, q, K% e' W/ U5 G7 L  |8 PC:\WINDOWS\system32\rsmycpm.dll$ q3 U7 ~* Q7 k! _# C4 A% z6 ]
C:\WINDOWS\system32\kvdxcma.dll
" ^% X( M% g* u* w7 _( VC:\WINDOWS\system32\avwgcmn.dll: g; e% Z$ t" k* U* j  Z
C:\WINDOWS\system32\ratbdpi.dll
9 E! A' l- o# p- A# ?5 mC:\WINDOWS\system32\raqjapi.dll; t- w" d- Q: G2 Z) U7 Z
C:\WINDOWS\system32\rsjzbpm.dll5 N& P1 d' m( f2 w/ \' ], X0 W! Z
C:\WINDOWS\system32\avzxdmn.dll
! ~: w/ i7 J* z5 m, sC:\WINDOWS\system32\kawdbzy.dll7 m4 O6 h" p$ e; ^/ u# i) ^6 K" g
C:\WINDOWS\system32\rarjbpi.dll
2 y5 g' P& Y6 g8 ]C:\WINDOWS\system32\mypern0.dll0 e7 U' l7 V6 E/ I- R
, i' y+ K" h0 f' h8 d/ U* y
2.打开sreng ，“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：Windows dvne RunThem / dvne9 ]8 y, R. i4 }

: b4 ]+ T/ i. W  ?9 B! B3 a  H在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
, C7 _3 `4 s# B+ q) h2 xacpidisk / acpidisk，系统修复，高级修复，重置winsock
- t$ K7 p/ Q0 t6 h5 b- r+ R
' U# D( N% W- [8 F2 C$ ^% z0 K3.重启计算机! {# Y/ {8 X2 W% F
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件
5 Q+ e3 O& W& o" @; TC:\WINDOWS\system32\drivers\svchost.exe
/ d! @% I5 n1 xC:\WINDOWS\system32\msavp.dll
2 {( M- w" ?% ]3 N, i" V' PC:\WINDOWS\upxdnd.exe
2 ~  }' x' g# HC:\WINDOWS\system32\drivers\acpidisk.sys  H$ Q- Y* C$ B, }# C
c:\progra~1\yqiz文件夹( K5 @3 a- V: Q! M
# k, d2 m, N, F2 U3 V
最后再次提醒大家一定要关闭电脑的自动播放功能，不要让此类恶性U盘病毒再如此肆意传播了！, M! T  `. m, ]' E  n
也跟病毒作者说一句话，你那句话以后应该改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我禽兽不如！！！”% ^% v; @7 u7 Z1 Q

9 N8 A1 N) k" P# h9 i

, B2 {6 F/ v" S  M: P# h' h3 {如何防范？: K& J  S# [1 [

引用:

这个病毒主要通过U盘和网站浏览下载传播，请从以下几方面加强系统。9 q& M( m5 J3 I) \: D
1.使用金山清理专家的漏洞扫描修复功能，解决系统漏洞带来的威胁。' @4 G4 N# |3 C0 r4 I9 q
2.升级杀毒软件，并保持实时监控为开启状态。
) r6 I" Y6 G" i6 r) I3.禁用磁盘自动播放功能，避免插入移动存储设备感染病毒。- H9 }* x5 H$ [/ b# n* b2 i3 C
更完整的防毒方法，请参考《简简单单防病毒》
9 _) i$ E  ?8 x

9 w$ c- t4 Q! V. V7 S

9 S7 y0 @) J( ], g/ I* q, L

引用:

原帖由 铁军 于 2007-9-26 13:51 发表
# m0 S4 I8 Y+ \, ?" [+ l' h6 a金山反病毒中心截获最新的杀软克星病毒，该病毒和AV终结者如出一辙，某些具体的功能方面比AV终结者有更胜一筹。和6、7月份高发的AV终结者不同之处在于，这个病毒没有破坏安全模式、禁止防火墙和关闭系统还原。
* I" h. f4 Y* n5 D: N+ u% W; b; u9 N% t
以 ...

, `3 w) I. j6 J& n  o
谢谢铁军老师提醒6 b& N, ^. _0 `# Z' n: k) w

) _, |8 R* j3 M, K病毒作者怎么不把26个英文字母全用上呢?A-W只有23个呀,少了XYZ{77}

好帖，建议置顶

谢谢楼主提醒！~~

谢谢楼主，要是我不小心中了{69} 你可要救我啊！{AE}

我中了！
: V0 F( U1 v3 H3 U/ U9 p! N* z
" v4 d/ D+ S# F1 H如何解决呢？最新的金山毒霸也杀不干净！有没有专杀工具啊，急！！！

建议置顶

铁军,有样本米....给个我,样本加密123发至szzlblm@163.com4 l! K( B/ l+ }" R& i1 ^" K
谢谢..!!

感觉图2很有个性

复制内容到剪贴板

代码:

2007-09-27,10:18:06

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
    <KavPFW><"D:\KAV2006\KPFW32.EXE">  [Kingsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
    <run><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SkyTel><SkyTel.EXE>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <KavStart><"d:\KAV2006\KAVStart.exe" -startup>  [Kingsoft Corporation]
    <IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [(Verified)Microsoft Corporation]
    <KAVTool><"F:\DubaTool_AV_Killer2.COM" noshow>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows XP Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><>  [N/A]
    <{4D47B341-43DF-4563-753F-345FFA3157D4}><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <zcfilorux><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]

==================================
启动文件夹
[星空极速]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\星空极速.lnk --> C:\PROGRA~1\ChinaNet\VNETCL~1.EXE []><N>

==================================
服务
[Adobe LM Service / Adobe LM Service][Stopped/Manual Start]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart][Stopped/Auto Start]
  <C:\WINDOWS\system32\ati2sgag.exe><>
[Kingsoft Personal Firewall Service / KPfwSvc][Running/Auto Start]
  <"d:\KAV2006\KPfwSvc.EXE"><Kingsoft Corporation>
[Kingsoft Antivirus KWatch Service / KWatchSvc][Running/Auto Start]
  <d:\KAV2006\KWatch.EXE><Kingsoft Corporation>
[Windows Media Connect Service / WMConnectCDS][Stopped/Manual Start]
  <C:\Program Files\Windows Media Connect 2\wmccds.exe><Microsoft Corporation>

==================================
驱动程序
[ati2mtag / ati2mtag][Running/Manual Start]
  <system32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
[BIOS / BIOS][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\BIOS.sys><BIOSTAR Group>
[gwiopm / gwiopm][Stopped/Manual Start]
  <\??\D:\Windows 优化大师\gwiopm.sys><N/A>
[Microsoft UAA Bus Driver for High Definition Audio / HDAudBus][Running/Manual Start]
  <system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService][Running/Manual Start]
  <system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[KAVBase / KAVBase][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\KAVBase.sys><Kingsoft Corporation>
[KNetWch / KNetWch][Running/System Start]
  <\??\d:\KAV2006\KNetWch.SYS><Kingsoft Corporation>
[KWatch3 / KWatch3][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\KWatch3.SYS><Kingsoft Corporation>
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\d:\QQ\npkcrypt.sys><N/A>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Service for HDMI / RTHDMIAzAudService][Running/Manual Start]
  <system32\drivers\RtHDMI.sys><Realtek Semiconductor Corp.>
[Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver / RTLE8023xp][Running/Manual Start]
  <system32\DRIVERS\Rtenicxp.sys><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>

==================================
浏览器加载项
[Kingsoft Trojan Webshield]
  {4E8A5278-C04E-4FE3-BF78-8A7CCD6EF333} <C:\Program Files\Kingsoft Antispy\IEBuddy.DLL, Kingsoft Corporation>
[IEBuddyExtControl Class]
  {3AECD3C1-7085-4731-96DC-47B6CF7EF749} <C:\Program Files\Kingsoft Antispy\IEBuddyExt.DLL, Kingsoft Corporation>
[EditCtrl Class]
  {488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\aliedit.dll, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
[金山毒霸在线产品升级]
  {E847C78C-C210-4195-8799-FBF3BF89797D} <C:\WINDOWS\system32\kingsoft\KOS\KOSInit.ocx, 金山软件股份有限公司>
[IEBuddyExtControl Class]
  {3AECD3C1-7085-4731-96DC-47B6CF7EF749} <C:\Program Files\Kingsoft Antispy\IEBuddyExt.DLL, Kingsoft Corporation>
[Kingsoft Trojan Webshield]
  {4E8A5278-C04E-4FE3-BF78-8A7CCD6EF333} <C:\Program Files\Kingsoft Antispy\IEBuddy.DLL, Kingsoft Corporation>
[WangWangObj Class]
  {6E213FC7-DD5A-4115-B7E6-D4C7838C361E} <D:\WangWang\WangWangX4.dll, 阿里巴巴软件(上海)有限公司>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
[使用Web迅雷下载]
  <d:\WebThunder\GetUrl.htm, N/A>
[使用网际快车下载]
  <D:\FlashGet\jc_link.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[金山毒霸反钓鱼...]
  <d:\KAV2006\KAF\ShowSet.htm, N/A>

==================================
正在运行的进程
[PID: 640 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 696 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 724 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 768 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 780 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 928 / SYSTEM][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4155]
    [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2510]
    [C:\WINDOWS\system32\atipdlxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2514]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 968 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1036 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1148 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\System32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1232 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1312 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1592 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [C:\WINDOWS\system32\CNMLM52.DLL]  [CANON INC., 1.70.2.2]
    [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.2175.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\CNMPD52.DLL]  [CANON INC., 1.70.2.2]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 11.3.2175.0]
[PID: 1780 / Administrator][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2649 (xpsp.050406-1732)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
[PID: 1900 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
[PID: 2036 / Administrator][C:\Program Files\ChinaNet\VnetClient.exe]  [, 2005, 11, 14, 1]
    [C:\Program Files\ChinaNet\Communicate.dll]  [0, 2005, 3, 3, 1]
    [C:\Program Files\ChinaNet\DialModule.dll]  [GDCN, 2005, 11, 15, 1]
    [C:\Program Files\ChinaNet\MFC42.DLL]  [Microsoft Corporation, 6.00.8665.0]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
    [C:\PROGRA~1\ChinaNet\CLIENT~1.DLL]  [, 2004, 2, 28, 1]
    [C:\PROGRA~1\ChinaNet\PLUGIN~1.OCX]  [, 2005, 7, 27, 1]
    [C:\PROGRA~1\ChinaNet\sign.dll]  [0, 2004, 12, 1, 1]
    [C:\PROGRA~1\ChinaNet\PostPlug.dll]  [, 2004, 12, 16, 2]
    [C:\PROGRA~1\ChinaNet\ADVERT~1.OCX]  [, 2005, 10, 13, 1]
    [C:\PROGRA~1\ChinaNet\VnetBs.ocx]  [, 2004, 11, 18, 1]
    [C:\PROGRA~1\ChinaNet\ACCOUN~2.DLL]  [, 2005, 11, 14, 1]
    [C:\PROGRA~1\ChinaNet\AccountMgr.dll]  [, 2005, 11, 14, 17]
    [C:\PROGRA~1\ChinaNet\VnetSkin.ocx]  [GDDC, 2005, 11, 14, 1]
    [C:\PROGRA~1\ChinaNet\DialogStyle.dll]  [, 1, 0, 0, 1]
    [C:\PROGRA~1\ChinaNet\Timer.ocx]  [, 2005, 10, 9, 14]
    [C:\PROGRA~1\ChinaNet\PLUGIN~2.OCX]  [, 2005, 2, 24, 1]
    [C:\PROGRA~1\ChinaNet\NEWMES~1.DLL]  [, 2005, 8, 26, 1]
    [C:\PROGRA~1\ChinaNet\PassCtrl.dll]  [, 1, 0, 0, 1]
    [C:\WINDOWS\system32\wpcap.dll]  [Politecnico di Torino, 3, 0, 0, 18]
    [C:\WINDOWS\system32\pthreadVC.dll]  [N/A, ]
    [C:\WINDOWS\system32\packet.dll]  [Politecnico di Torino, 3, 0, 0, 18]
    [C:\PROGRA~1\ChinaNet\PlugPush.dll]  [, 2004, 12, 21, 1]
    [C:\PROGRA~1\ChinaNet\ALLINT~1.DLL]  [, 2004, 11, 23, 1]
    [C:\PROGRA~1\ChinaNet\VNetLog.ocx]  [, 2005, 10, 9, 1]
    [C:\PROGRA~1\ChinaNet\StatNum.dll]  [, 2004, 11, 18, 1]
    [C:\PROGRA~1\ChinaNet\VNETON~1.OCX]  [, 2005, 3, 2, 1]
    [C:\PROGRA~1\ChinaNet\ALLFUN~1.DLL]  [GDCN, 2005, 10, 9, 1]
    [C:\PROGRA~1\ChinaNet\VnetOptLog.dll]  [, 2005, 9, 13, 9]
    [D:\KAV2006\KAScript.DLL]  [Kingsoft Corporation, 2007, 3, 6, 75]
    [C:\PROGRA~1\ChinaNet\DlgSkin.ocx]  [, 2005, 11, 14, 1]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx]  [Adobe Systems, Inc., 9,0,45,0]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1752 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 1848 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe]  [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 1772 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\System32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 2980 / Administrator][D:\Iparmor\Iparmor.exe]  [luosoft.com, 2007]
    [D:\Iparmor\getportlistxp.dll]  [, 1, 0, 0, 1]
    [D:\Iparmor\hookhookdll.dll]  [N/A, ]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
[PID: 1668 / Administrator][D:\MyIEGB\MyIE.exe]  [MoreQuick, 1, 0, 0, 0]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
    [D:\KAV2006\KAScript.DLL]  [Kingsoft Corporation, 2007, 3, 6, 75]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\SOGOUPY.IME]  [Sohu.com Inc., 2, 0, 0, 1]
    [C:\WINDOWS\system32\dllMergeDict.dll]  [N/A, ]
    [C:\Program Files\SogouInput\Plugin\SgImeWord.dll]  [, 1, 0, 0, 31]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx]  [Adobe Systems, Inc., 9,0,45,0]
[PID: 2060 / SYSTEM][C:\WINDOWS\system32\wuauclt.exe]  [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
    [C:\WINDOWS\system32\UxTheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
[PID: 2792 / Administrator][F:\sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [C:\WINDOWS\system32\uxtheme.dll]  [Microsoft Corporation, 6.00.2900.2523 (xpsp.040919-1030)]
    [D:\KAV2006\KMailOEBand.dll]  [Kingsoft Corporation, 2006, 12, 1, 139]
    [C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
    [C:\WINDOWS\system32\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
    [D:\KAV2006\KASocket.dll]  [Kingsoft Corporation, 2007, 3, 18, 241]
    [F:\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
N/A

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 2036, C:\PROGRAM FILES\CHINANET\VNETCLIENT.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2980, D:\IPARMOR\IPARMOR.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1668, D:\MYIEGB\MYIE.EXE]

==================================
API HOOK
入口点错误：LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: D:\KAV2006\KASocket.dll)

==================================
隐藏进程
N/A

==================================

好啊.顶一下.希望快出专杀{123_062}

谁有解决的办法啊

真是个禽兽,好牛X呀!好帖!{F3(1)}

{7E(2)} 看上去好恐怖的样子，我的电脑有些漏洞不能安装吖，但是我用的是正版的毒霸，不知道有危险没吖{5E(1)}

貌似最近出了一个新变种 ^_^  看到阳光的分析了

禽兽就这样完了 {78}

被传说中的蚊子咬死了 {78}

Thanks!