禽兽病毒解决方案

禽兽, 方案

金山反病毒中心截获一自称“不是禽兽”的恶性病毒。该病毒入侵用户电脑后，会自行修改文件夹选项，并将隐藏文件夹选项中隐藏文件和文件夹菜单下正常的显示替换成“禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽”.该病毒和AV终结者如出一辙，但该病毒劫持的安全软件数量超过了6、7月份肆虐的AV终结者病毒。8 F4 _! P9 ~' C

典型中毒表现6 V ]7 ^" N; o
中病毒后，最容易被观察到的现象是弹出广告，任务管理器被禁用，杀毒软件不能正常启动，不能升级，浏览器主页被锁定为www.baidu.com! F' ~* [4 l/ S( C0 c/ l
4 A# i) v" c2 N/ d4 F+ B
详细分析：4 @1 ?, e- s, r& Q
病毒全名：Worm.Downloader.cr.34304 5 @4 {! f; p( y6 b) r
病毒长度：34304- \4 p/ L- T3 k8 J& F
威胁级别：★★
病毒类型：蠕虫病毒9 q$ g( I9 b4 n. K

简介：& M8 z' P; y d8 r4 Y# P
这是一个蠕虫病毒。该病毒运行后，会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。9 o+ A& D* f3 q( L1 E
而且病毒会通过映像劫持的方法，使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页，在打开浏览器时会自行下载病毒，并且弹出广告等行为。

病毒行为：7 j0 F, Z7 k) H- x0 ^) ]' ~

1.病毒运行后，产生以下病毒文件

" e6 C# A$ s5 {; W+ G%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm! }. i6 P; t+ x0 b& }$ j+ G7 {6 L
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt, Z- d# ] {8 Q1 d. u2 O
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
& L) Z! ? K8 N# X: C0 k2 f%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
$ g8 _1 Z4 n8 @%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
, a) H' D( A9 P' k+ Q( c$ z0 E9 U( [在%windows%\Fonts下添加许多后缀为"fon"的文件
& x, c) M7 G1 U- B; q: y# A1 Z* y在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件+ E+ o. l% d; Q, `5 K% s
在%temp%目录下同样产生病毒文件
4 G( ]$ k/ R+ `4 o+ l6 o

! D) U0 A7 E7 _9 e$ e" ^" {; E

2.在各盘目录下，会生成AUTO病毒，分别是niu.exe和autorun.inf。其中，autorun.inf所指向的病毒是niu.exe，当用户左键双击进入该盘时，病毒随之触发。 n2 x l8 s+ X4 r

3.病毒运行后，任务管理器被屏蔽不可使用(如图)。' l: v2 V- z; o/ _! M3 y( R

/ T9 s6 a! _# s
: ?) Z5 w1 [ M: X/ p
4.病毒运行后，隐藏文件的功能被纂改,并且把文字内容也修改。那句话的全部是“禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽。”（如图）' b1 g Y8 N/ U, u" { N, M

: m0 E7 r/ E0 @- {
5.病毒利用映像劫持的技术，使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看，还有哪个病毒劫持的安全软件比它多。(如图)

8 O% X6 c% g9 X4 X. l( `2 z$ s7 \

2007-9-26 13:57
7 H; z# A) b( N, c

( N: ^* U+ E! t( X J% v

6.病毒把主页修改为www.baidu.com c5 M6 y4 S9 I# M; i
# X4 l/ U& i, X2 g& o% O
7.会监视窗口，当在浏览器输入与"安全"或"病毒"相关的网站，病毒会把浏览器立即关闭。. C1 Z2 R( u: a, w" D

8.打开浏览器会弹广告。
7 ?( Q: g5 E( g( j
9.病毒会从以下地址下载更多木马" l1 ^6 v- J, V& P1 q7 B. Y

( o, Z# y  H; p* ~+ Qhttp://w.******.com/tempA.exe9 f, y/ F2 ?4 T2 S
http://w.******.com/tempB.exe
: m/ d8 L" b* [% Ahttp://w.******.com/tempC.exe
% |0 x' f/ N& C& Mhttp://w.******.com/tempD.exe- B- X  D0 V+ U0 B/ e
http://w.******.com/tempE.exe& u4 C1 }; N. L. T
http://w.******.com/tempF.exe! J( g$ B& `3 {$ m, `" E
http://w.******.com/tempG.exe
# F' m' U' r4 j+ M0 H8 T7 h! q$ G8 xhttp://w.******.com/tempH.exe2 O, T- g( ]2 g/ T4 L
http://w.******.com/tempI.exe
5 H7 X" \6 B" t; khttp://w.******.com/tempJ.exe
5 P. T2 m4 i6 ~8 u3 Vhttp://w.******.com/tempK.exe
& L1 K0 I* k1 ?' M- l) |http://w.******.com/tempL.exe) _1 ~6 Y) F/ S
http://w.******.com/tempM.exe
. Y( e, H% m! @& h. Y( Shttp://w.******.com/tempN.exe  S" l( e% i0 a- j" Y
http://w.******.com/tempO.exe
* ?# K$ x' Q: e% G  ^http://w.******.com/tempP.exe; R! n# w6 c8 h$ G1 \' E
http://w.******.com/tempQ.exe6 ^) G( ^4 k3 Y' W  m
http://w.******.com/tempR.exe
+ Z" U* F  z4 r  ~- Uhttp://w.******.com/tempS.exe0 S6 k+ h7 ~, D, j3 j1 s& F
http://w.******.com/tempT.exe0 z! K6 r1 E: S; T; z; \2 B
http://w.******.com/tempU.exe0 }: R* M& }! _% m5 M6 H
http://w.******.com/tempV.exe
' F& K, I+ J4 i- W; T# R! ]0 r, Whttp://w.******.com/tempW.exe
* @* r- z+ c3 L% t) }" y) _

( M; d! U. G' t0 {
10.通过以下文本里的文件，对以下关键字进行监测，检测后尝试关闭相关网页。http://w.******.com/guanjian.txt，但是这里作者却把两个杀软的名字弄错，（不知是不是故意放卡巴和江民一马）6 e% d3 @! D W! [/ j$ @

+ U( H0 U- b% \% m0 D$ h* n
木马
7 w v" F# h; d, I' T( u病毒
0 F1 ^, \/ p5 j4 n, N360
$ v4 v6 j4 H4 K瑞星
; C. u- I( h) Y! J2 o3 B卡吧(错,应为"卡巴")
9 Z" c2 l% b7 j; q金山5 ^$ Y) ?0 N, ` l, ~
毒霸6 u# H9 n( t9 ~
江名(错,,应为"江民")/ h" t9 h5 Y- n; x6 x8 R6 r" h

病毒还会利用www.******.com/pu/tj.asp，进行感染量统计。（这是不是病毒商业化运营的统计系统呢？很有可能是的。）7 R) x7 \; e4 O$ c8 Z4 `) y
: V! s+ C# F w+ V" ~# Z2 n6 K
解决方案：% d1 x5 \% e6 R8 g$ h
7 X$ @% ?# a/ j! `& c2 J7 f0 ^6 s
该病毒的清除，是相对比较麻烦的，尽管如此，请您不要轻易格式化重装，因为病毒还会通过自动播放传播，重装后，很容易再中。

这个禽兽病毒的处理，和AV终结者病毒相似。我们需要在正常的电脑上下载AV终结者专杀，再COPY到本地计算机，运行专杀工具可修复被破坏的安全模式和映像劫持。然后，杀毒软件就可以正常使用了。

请点击这里下载AV终结者专杀

DubaTool_AV_Killer2.rar (415.15 KB)
; `, _. }3 a/ p- R
这时，再使用资源管理器浏览到金山毒霸的安装目录下（切记不要使用双击磁盘运行程序），执行uplive.exe升级金山毒霸。然后立即全盘杀毒，最后，使用金山清理专家，把病毒修改的注册表项全部修复。因为这个“禽兽”病毒还下载了很多其它病毒在IE缓存文件夹，建议，直接使用清理专家百宝箱中的垃圾文件清理，直接删除这些垃圾文件。

从这里下载金山清理专家
http://www.duba.net/ps/kav/kav_dl.shtml
6 Y" _- s* @4 |2 S' R2 M; b$ T6 |% `. q8 e0 G0 A; t' d, k
手工删除方案：' N/ O- A* V- y3 J5 z: \
" h9 R- F: [8 @- I/ r" Q# H9 K
（手工清除适合有经验管理维护windows操作系统的用户，误操作可能会带来意外损失，以下手工清除方案由网友清新阳光提供，原文：http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html）
* g% d6 p5 }! q) ~
3 h* k% E# g0 ]

3 G' O& |1 C" Z2 W" {一、清除病毒主程序5 u$ b1 [* O5 J% `: M9 f7 @
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
) s( |0 \1 B( _. s$ B  wsreng http://download.kztechs.com/files/sreng2.zip
+ @8 n  ~3 H; N; ]' L1.解压IceSword122cn.zip把Icesword.exe改名为1.com（使用AV终结者专杀后，可不用修改，既能运行）运行切换到进程窗口，结束%system32%\crsss.exe进程（注意是crsss.exe不是csrss.exe，一定不要搞错）
/ q! L& o: d% ^1 L/ `: |1 t9 W

用冰刃结束病毒进程

2007-9-29 14:20

" N9 @: W: R, X% f9 d! ]2.点击左下角文件按钮删除如下文件%system32%\crsss.exe和每个分区下的niu.exe和autorun.inf（一定不要落下这一步）, o8 b5 e' s2 j+ u  E* g5 H( D- ?

用冰刃强制删除病毒文件

2007-9-29 14:20
8 d$ Q' Q  H2 D0 @  s0 H
二、修复被病毒破坏的系统1 o/ o/ T7 p$ p
1.打开sreng启动项目，注册表。删除所有红色的IFEO映像劫持项目，并删除( V6 A( d+ V1 Q8 [
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的 <crsss><C:\WINDOWS\system32\crsss.exe>       [N/A]
7 Z# I# }/ l+ p& [2 B
9 y+ y( P: b- M4 }( _* t3 Q2 v5 {# ~2.还是使用sreng，修复任务管理器的正常使用。
8 P, Z0 H: [$ A步骤：系统修复-Windows Shell/IE，勾选“允许在Windows 2000/XP/Server 2003中使用任务管理器”，设置主页为"about:blank"; z7 g4 P: |5 L
允许Internet Explorer选项窗口和选项窗口的所有内容，然后点击修复/ e  y( d( b% l) v; H) ~

  c3 q1 Z0 d  _5 i" }" {( b3.sreng中系统修复-高级修复，修复安全模式
  G. U) O1 ^- i  f( {9 A& y) k5 e, V8 R
4.找一台未被感染病毒的与中毒电脑系统相同的电脑导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容，另存为一个扩展名为reg的文件，复制到带毒电脑上，双击导入。
0 ^. S" f& ~4 z# p- T9 |+ _本贴的附件中提供这个fixhidden.reg的文件，下载后解压，在中毒后的电脑上双击就可以导入。% h: l) k; G% e+ i' P- B6 K7 P# t
, X9 k0 D/ Z/ E: T% f$ m& u/ ?
三、清除病毒下载的木马（由于下载的木马随时变化，所以本文中的方法仅供参考，强烈建议您使用金山毒霸升级后全面杀毒）& W) H: ]& ~" Y4 v( ~! T! `$ G

- S! m, y8 a# P" t; @  ^3 J使用金山清理专家的文件粉碎器找到以下DLL文件，将其删除。7 H0 e, ~0 O% {' E- J4 |
C:\WINDOWS\system32\kvmxdma.dll; b' z4 j! R" E" O8 z
C:\WINDOWS\system32\rsmycpm.dll
1 j. w; [4 @" U. y: x+ l: P! LC:\WINDOWS\system32\kvdxcma.dll
7 N9 G# `. y/ v0 T2 `6 n2 OC:\WINDOWS\system32\avwgcmn.dll/ @& F) }7 X- [
C:\WINDOWS\system32\ratbdpi.dll
  F/ M4 U6 p; ^# S9 }! C3 WC:\WINDOWS\system32\raqjapi.dll
3 U) l3 L* z2 O: AC:\WINDOWS\system32\rsjzbpm.dll
8 i& k  F& `9 _; u1 SC:\WINDOWS\system32\avzxdmn.dll2 D1 b7 {% F, M* I5 M4 u+ r
C:\WINDOWS\system32\kawdbzy.dll
: b4 D: u$ L' [( x6 y: P. xC:\WINDOWS\system32\rarjbpi.dll
, z5 R# T; O; IC:\WINDOWS\system32\mypern0.dll# j! j( W) u. x
' h8 j% ^7 O% u
2.打开sreng ，“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：Windows dvne RunThem / dvne6 p+ P* H# H3 n. {

/ Q/ ~) U. j$ D" Z/ t! t5 W在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：! i! m$ g" l3 F4 I" p+ T
acpidisk / acpidisk，系统修复，高级修复，重置winsock( B' ?7 V2 a7 Q2 c; e0 Q6 Q% T
# @2 E( J! U# o4 S" @9 ^6 }# _
3.重启计算机; m+ y  u& H/ y0 _
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件5 y( g4 j0 |2 K9 f, J" ~- C% a
C:\WINDOWS\system32\drivers\svchost.exe- W9 T" E7 ^# ]$ W! w5 b& o
C:\WINDOWS\system32\msavp.dll
5 p  R  x% a, |6 C" X, pC:\WINDOWS\upxdnd.exe
. G3 K4 N/ y. b8 vC:\WINDOWS\system32\drivers\acpidisk.sys% Z* @+ z7 i8 e# F0 u
c:\progra~1\yqiz文件夹
! A  E# g) l' R1 j2 g* @
4 ^) f, M3 F- E+ M7 _最后再次提醒大家一定要关闭电脑的自动播放功能，不要让此类恶性U盘病毒再如此肆意传播了！
' x' V3 \& x* b7 t, ?7 O也跟病毒作者说一句话，你那句话以后应该改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我禽兽不如！！！”
* d  A1 k/ j% b' a

如何防范？
. t* t( j: e. d [

这个病毒主要通过U盘和网站浏览下载传播，请从以下几方面加强系统。6 v' E/ b$ `) n2 Q
1.使用金山清理专家的漏洞扫描修复功能，解决系统漏洞带来的威胁。
3 [& J- ]) h3 l: A/ ?9 u. F8 K6 k1 e2.升级杀毒软件，并保持实时监控为开启状态。
% q$ m0 X$ ]( I. S. P, A* S3.禁用磁盘自动播放功能，避免插入移动存储设备感染病毒。& j" Z! s; @$ W, f
更完整的防毒方法，请参考《简简单单防病毒》8 J# V& Y: ~1 a5 v8 i

( p+ o! j- A4 G/ G

fixhidden.rar (816 Bytes)

恢复隐藏系统文件的设置

收藏分享评分

提问请注意详细描述现象、操作过程，如果是病毒报告，应说明病毒名，染毒文件路径、文件名等，什么现象都不描述只发一个日志的帖子将被直接删除。
系统还原是中毒后恢复最节约成本的好工具，新手请不要随意禁止系统还原

请新会员关注新手杀毒教程