ADWare.Win32.Boran.w病毒清除办法

病毒名称：not-a-virus:ADWare.Win32.Boran.w

病毒文件包括：stdup.dll    stdact.dll   stdplay.dll   stdstub.dll   stdupnet.dll   stdvote.dll alsmt.exe albus.dll    albus.dat   alpst.dat 等等

清除办法一：
把[控制面板]-[添加/删除程序]里面的winStdup删除，然后用卡巴全盘杀毒即可。

清除办法二：
         1.到C:\WINDOWS\SYSTEM32下面,将所有文件按修改日期排序,,,,,找到stdstub.dll这个文件,看其修改建立日期,然后再找到一些和它名字差不多的文件,一般都是.DLL文件,看到建立日期和那个文件一样的,全删了,大致有这些文件:

            stdup.dll    stdact.dll   stdplay.dll   stdstub.dll   stdupnet.dll   stdvote.dll alsmt.exe albus.dll    albus.dat   alpst.dat 等等,你注意看一下建立日期,如果删不掉,就用我推荐的那个工具-----unlocker

          2,以上文件中,其中有albus.dll ,albus.dat这好像又是一个病毒,好像与之关联起来了.这个病毒 我好像之前有提过的,光删了albus.*文件是不行的,要删掉它的驱动文件 ,在c:\windows\system32\drivers\目录下,名為:albus.sys删掉

          3.他删掉以上文件后,就到註册表里去狂搜,搜的关键值為第一步里的那些文件名字,一个一个的搜,把搜到的键值,不管是主键还是键值,全删了,到这基本上就搞定了.    註册表里的项大部分是在 :HKEY_LOCAL_MACHINE下面的SOFTWARE下有个ALBUS键,删之,还有也是在HKEY_LOCAL_MACHINE下面, 是在SYSTEM下面的CONTROLSET001和003下面的ENUM下面的ROOT下面的LEACY_ALBUS和LEACY_STDUPENT,连著主键全删了,别外再搜下,alsmt.exe 等,搜到删,不用客气,这样就应该OK了.

           4.杀完后,重新啟动，病毒清除完毕。

Trojan-PSW.Win32.OnLineGames.jp病毒分析及解决办法

以下是案例SRE日志中的注册表部分，因为从完整的日志上来看，该病毒只采用了run启动项，红色标记部分为病毒项。(此案例中不仅仅有Trojan-PSW.Win32.OnLineGames.jp，还有其他病毒)
====================================================================
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>     [(Verified)Microsoft Corporation]
       <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>     [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <load><>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>     [(Verified)Microsoft Corporation]
       <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>     [(Verified)Microsoft Corporation]
       <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>     [(Verified)Microsoft Corporation]
       <NVMixerTray><"C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe">     [NVIDIA Corporation]
       <nTrayFw><C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe>     [NVIDIA Corporation]
       <ATIPTA><"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe">     [ATI Technologies, Inc.]
       <kav><"D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">     [Kaspersky Lab]
    <mhs3><C:\WINDOWS\mhs3.exe>     [N/A]
       <msccrt><C:\WINDOWS\msccrt.exe>     [N/A]
    <upxdnd><C:\DOCUME~1\DANINZ~1\LOCALS~1\Temp\TIMPLATF0RM.exe>     [N/A]
       <wsttrs><C:\WINDOWS\wsttrs.exe>     [N/A]
       <wsvbs><C:\WINDOWS\wsvbs.exe>     [N/A]
       <UserKill><C:\WINDOWS\system32\5.exe>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\ctfnom.exe>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <shell><Explorer.exe>     [(Verified)Microsoft Corporation]
       <Userinit><C:\WINDOWS\system32\userinit.exe,>     [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <UIHost><logonui.exe>     [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>     [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cmdmant]
    <WinlogonNotify: cmdmant><msgcom.dll>     [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
       <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>     [Kaspersky Lab]====================================================================

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
           清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
<mhs3>
<msccrt>
<upxdnd>
<wsttrs>
<wsvbs>
<UserKill>
<twin>
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
<WinlogonNotify: cmdmant>
3、显示“受保护的操作系统文件
     使用unlocker删除以下文件：
                                              C:\WINDOWS\mhs3.exe
                                                 C:\WINDOWS\msccrt.exe
                                                 C:\DOCUME~1\DANINZ~1\LOCALS~1\Temp\TIMPLATF0RM.exe
                                                 C:\WINDOWS\wsttrs.exe
                                                 C:\WINDOWS\wsvbs.exe
                                                 C:\WINDOWS\system32\5.exe
                                                 C:\WINDOWS\system32\ctfnom.exe
                                                 C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
                                              C:\WINDOWS\system32\msgcom.dll

4、由于C:\WINDOWS\system32\ctfnom.exe驻留内存，在系统关机时能够自我恢复，故需要在C:\WINDOWS\system32\目录下建立名为ctfnom.exe的文件夹以阻止其恢复。

5、重启计算机，病毒清除完毕。

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:22 编辑 ]

LgSyl.dll病毒清除方法


清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入winlog0n.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕.

3、显示“受保护的操作系统文件”
    使用unlocker删除以下文件：
                                              C:\WINDOWS\winlog0n.exe
                                              C:\WINDOWS\system32\LgSyl.dll

4、重启计算机，病毒清除完毕。

LgSyzr.dll病毒解决方案

技术分析
热血江湖木马，运行后复制自身到Windows目录：%Windows%\iexp1ore.exe
释放dll文件注入进程：%System%\LgSyzr.dll

创建启动项：  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{随机字符}"="%Windows%\iexp1ore.exe"
清除步骤
1. 开始--运行--regedit，打开注册表，展开到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除 "{随机字符}"="%Windows%\iexp1ore.exe"

2. 重新启动计算机

3. 删除木马文件：
                            %Windows%\iexp1ore.exe
                            %System%\LgSyzr.dll

4. 病毒清除完毕。

LgSym.dll winlog0n.exe iexpl0re.exe病毒解决方案

【技术分析】
木马运行后复制自身到Windows目录：%Windows%\iexpl0re.exe   、winlog0n.exe
释放dll文件注入进程：%System%\LgSym.dll

创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{随机字母}"="%Windows%\iexpl0re.exe"
"{随机字母}"="%Windows%\winlog0n.exe"
【清除步骤】
1. 开始--运行--regedit，打开注册表，展开到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除 "{随机字母}"="%Windows%\iexpl0re.exe"
           "{随机字母}"="%Windows%\winlog0n.exe"

2. 重新启动计算机

3. 删除木马文件：
                    %Windows%\iexpl0re.exe
                     %Windows%\winlog0n.exe
                      %System%\LgSym.dll

4. 病毒清除完毕。
出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:29 编辑 ]

soundmix.dll病毒清除方法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入soundmix.dll ，找到的项目就点右键--删除，按F3继续，直到查找完毕. 然后用同样的方法查找soudmax.dll ,找到的项也全部删除.

3、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：
                                              C:\WINDOWS\system32\soundmix.dll
                                              C:\WINDOWS\system32\soudmax.dll

4、重启计算机，病毒清除完毕。

全能搜索 adpu64.sys 病毒清除方法

病毒名称:Trojan-Downloader.Win32.Agent.bcd   (Kapasky)
                （360安全卫士称为全能搜索）
病毒文件:adpu64.sys,   ast.sys,  syschunk.dll

病毒分析:
1、添加run启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<SysChunk><C:\WINNT\system32\syschunk.dll>

2、添加如下服务:
[Vsn xrys Service / xrys]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\qkrl\xrys.dll,Service><N/A> xrys为随机四个英文字母

3、添加如下驱动:
[adpu64 / adpu64]  C:\WINDOWS\system32\drivers\adpu64.sys
[ast / ast]  C:\WINDOWS\system32\drivers\ast.sys

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
       清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键(如果不会，请看SRE的下载及使用方法)：

                                <SysChunk><C:\WINNT\system32\syschunk.dll>

3、用SRE删除下面这个服务(如果不会，请看SRE的下载及使用方法)：

                                [ Vsn xxxx Service]   (xxxx 为随机四个英文字母)

4、用SRE删除以下驱动(如果不会，请看SRE的下载及使用方法)：

                                                [adpu64 / adpu64]  
                                                [ast / ast]  

5、显示“受保护的操作系统文件
    使用unlocker删除以下文件(如果有的话)：

C:\WINNT\system32\syschunk.dll
C:\WINDOWS\system32\drivers\adpu64.sys
C:\WINDOWS\system32\drivers\ast.sys
C:\PROGRA~1\qkrl   (整个文件夹)

6、重启计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:32 编辑 ]

PvSec.dll病毒清除方法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
<{B876D045-E0B1-4E79-9359-0B1BF00813EA}><C:\WINDOWS\system32\filter.dll>
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<NetWork><C:\WINDOWS\system32\reporter.dll> [N/A]
<{78BF3960-61F0-4F4E-825D-3554FA61E847}><C:\WINDOWS\system32\wmpkn.dll>

3、用SRE删除以下服务和驱动：
[Irmon / Irmon]
[host Service For Windows / mshost]
[system / system]
[1342406 / 1342406]
[LanPort / LanPort]
[sptd / sptd]

4、删除以下浏览器加载项：
[Java Plug-in]{8AD9C840-044E-11D1-B3E9-00805F499D93} <, N/A>
[Java Plug-in]{CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} <, N/A>
[Java Plug-in]{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} <, N/A>

5、显示“受保护的操作系统文件”
     使用unlocker删除以下文件(如果有的话)：
C:\WINDOWS\system32\filter.dll
C:\WINDOWS\system32\PvSec.dll
C:\WINDOWS\system32\reporter.dll
C:\WINDOWS\system32\wmpkn.dll
C:\WINDOWS\system32\inetsvr.dll
C:\WINDOWS\SYSTEM32\DRIVERS\1342406.SYS
C:\WINDOWS\system32\drivers\LanPort.sys
C:\WINDOWS\System32\Drivers\sptd.sys

6、重启计算机，病毒清除完毕。

RootKit.CallGate.k病毒的解决办法

病毒名称:RootKit.CallGate.k   (瑞星)
病毒特点:变化多端

【手工】(此处所涉及到的病毒文件不具有一般性,仅为一例)
1、关闭系统还原，结束以下进程（如果有的话）：
      svchost.pif ，twunk32.exe

2、卸载QQ，然后删除QQ安装目录；

3、显示“受保护的操作系统文件”
    使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\Windows\system32\drivers\usbue.sys
                                 C:\WINDOWS\System32\svchost.pif
                                  C:\WINDOWS\System32\twunk32.exe
                                  C:\WINDOWS\System32\drivers\c38656468.sys
                                  C:\WINDOWS\System32\drivers\mipgqiqf.sys
                                  C:\WINDOWS\system32\drivers\zufbvsb.sys

4、用SRE修改注册表，删除以下键（如果有的话）：
   
                                 <svchost.pif><C:\WINDOWS\System32\svchost.pif>
                                  <twin><C:\WINDOWS\System32\twunk32.exe>

5、用SRE删除以下驱动(如果有的话)：

                                    c38656468 / c38656468
                                     zufbvsb / zufbvsb
                                     mipgqiqf / mipgqiqf
                                     usbue / usbue

6、重启计算机，病毒清除完毕。

Trojan.PSW.QQGame.ct病毒清除方案

病毒名称：Trojan.PSW.QQGame.ct（瑞星）
病毒别名：Backdoor.Win32.Bifrose.kt（Kaspersky）
传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析:
病毒运行后通过services.exe创建自身到：%System%\mswdm.exe

创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"CheckFaultKernel"="%System%\mswdm.exe"

清除步骤
1. 用任务管理器结束进程mswdm.exe

2. 显示“受保护的操作系统文件”
   使用unlocker删除以下文件：
                                        C:\WINDOWS\system32\mswdm.exe

3. 开始--运行--regedit，打开注册表,展开到
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] ,
删除名为CheckFaultKernel的启动项

4. 病毒清除完毕.

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:38 编辑 ]

iexp1ore.exe/iexpl0re.exe/winlog0n.exe/alga.exe病毒的清除方案

病毒名称:Worm.Viking

由于Worm.Viking变种繁多,故在清除时不能确定说电脑上就一定存在某某文件,案例之间存在差异.
总结了一下可能存在的病毒文件,给出解决方案如下.

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入iexpl0re.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕. 用同样的方法查找alga.exe    winlog0n.exe    iexp1ore.exe     LgSyzr.dll
(重要提示:注意以上文件的名称,不要与浏览器文件iexplore.exe混淆)

3、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：

                                                   C:\WINDOWS\winlog0n.exe
                                                   C:\WINDOWS\iexpl0re.exe
                                                   C:\WINDOWS\system32\iexp1ore.exe
                                                   C:\WINDOWS\alga.exe
                                                   C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSyzr.dll


4、重启计算机，进入安全模式删除C:\DOCUME~1\用户名\LOCALS~1\Temp\目录里面所有的文件。最后用杀毒软件全盘杀毒。

twunk32.exe病毒的解决办法

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
                                                
                                             <twin><C:\WINDOWS\system32\twunk32.exe>

4、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：
                                                   C:\WINDOWS\system32\twunk32.exe

5、重启计算机，病毒清除完毕。

WPRINT.EXE,windhcp.ocx,wsvbs.exe病毒的解决办法

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
     清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE删除以下服务：
                                                
                                                  WPrinter/WPrinter
                                                  Windows DHCP Service / WinDHCPsvc

3、用SRE修改注册表,删除以下键：
                                                
                                             <wsvbs><C:\WINDOWS\wsvbs.exe>

4、显示“受保护的操作系统文件
     使用unlocker删除以下文件：
                                                   C:\WINDOWS\system32\windhcp.ocx
                                                   C:\WINDOWS\SYSTEM32\WPRINT.EXE
                                                   C:\WINDOWS\wsvbs.exe
                                                   C:\DOCUME~1\ding\LOCALS~1\Temp\kwatlog.exe
                                                   C:\WINDOWS\system32\r.dll

5、重启计算机，病毒清除完毕。

iexp1ore.exe和LgSyzr.dll病毒的解决办法
1、开始--运行--regedit，打开注册表,展开到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除值为C:\WINDOWS\iexp1ore.exe的启动项

2、重新启动计算机

3、删除以下病毒文件
      %Windows%\iexp1ore.exe
      %System%\LgSyzr.dll

4、完毕.

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:43 编辑 ]

Trojan-Downloader.Win32.Aqent.bbb病毒清除方法


病毒名称:Trojan-Downloader.Win32.Aqent.bbb
病毒分类:木马下载器

病毒分析:
       该病毒会从特定的网站自动下载黑客程序并执行。卡巴司基不能清除。通过对该病毒多个案例的分析,我总结出以下两点:
       1、该病毒文件采用随机命名方式,给一般用户的手工查杀带来一定的困难;
       2、该病毒只添加service(服务和驱动),不添加run启动项.

       因此,对于Trojan-Downloader.Win32.Aqent.bbb病毒,只需要查看SRE日志中的服务和驱动部分即可找出病毒文件,然后作出相应处理.

如何从SRE日志中查找该病毒并作出相应处理?
      
下面以一个真实的案例来说明此问题.
案例来源:http://bbs.360safe.com/viewthrea ... &extra=page%3D1
以下是这份SRE日志中的服务和驱动部分,红色字体为注释:
====================================================================
服务
[卡巴斯基反病毒6.0 / AVP]
  <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
[File Replication / File Replication]
  <C:\WINDOWS\system32\ntfis.exe><N/A>-------------------(病毒文件)
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Event Service / Tech]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\nnsdm.dll><Microsoft Corporation>-------------------(病毒文件)
====================================================================
驱动程序
[ADProt / ADProt]
  <\SystemRoot\system32\drivers\ADProt.sys><腾讯科技（深圳）有限公司>
[Service for WDM 3D Audio Driver / ALCXSENS]
  <system32\drivers\ALCXSENS.SYS><Sensaura>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[aphz / aphzg]
  <\SystemRoot\System32\DRIVERS\aphzg.sys><N/A>-------------------(病毒文件)
[BaseTDI / BaseTDI]
  <2 - 系统找不到指定的文件。><N/A>-------------------(病毒文件)
[heqetf3 / heqetf38]
  <\SystemRoot\System32\DRIVERS\heqetf38.sys><N/A>-------------------(病毒文件)
[kl1 / kl1]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[ncio / ncio]
  <system32\DRIVERS\ncio.sys><N/A>-------------------(病毒文件)
[npkycryp / npkycryp]
  <\??\D:\QQ\npkycryp.sys><N/A>-------------------(病毒文件)
[nv / nv]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsAntiSpyware / RsAntiSpyware]
  <\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>
[vwwyoi5 / vwwyoi50]
  <\SystemRoot\System32\DRIVERS\vwwyoi50.sys><N/A>-------------------(病毒文件)
[wcnagie / wcnagie]
  <\SystemRoot\system32\drivers\wcnagie.sys><>-------------------(病毒文件)

====================================================================
【日志分析方法】
       日志中有一个特殊的符号<N/A>,凡是后面有<N/A>的文件都是可疑文件(大多为病毒文件,但不是绝对的),用百度搜索该文件,如果有相关信息表明该文件为病毒文件或者搜索不到任何信息,则认为该文件为病毒文件,找到病毒文件后先用unlocker删除该文件,然后用SRE删除该病毒文件所对应的服务或驱动项即可.

【重要提示】
1、服务中的hidserv.dll和驱动中的secdrv.sys常常不能被SRE识别.但事实上这两个都是系统文件,请勿删除!

2、特别要注意日志中的缩主程序svchost.exe,该程序是用来调用dll文件的,这常常被病毒利用.所以在日志中看到dll文件就要留心,遇到自己不清楚的,就用百度搜索相关信息.只需要删除dll文件,svchost.exe是系统重要文件,不可删除!

________________________________________________________

根据以上日志分析方法,得出针对该案例的解决办法如下:

1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
     清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。  

2、显示“受保护的操作系统文件”
     使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\windows\system32\nnsdm.dll
                                 C:\WINDOWS\system32\ntfis.exe
                                 C:\WINDOWS\system32\vwwyoi50.dll
                                 C:\WINDOWS\system32\drivers\aphzg.sys
                                 C:\WINDOWS\System32\DRIVERS\heqetf38.sys
                                 C:\WINDOWS\system32\drivers\ncio.sys
                                 C:\WINDOWS\system32\drivers\vwwyoi50.sys
                                 C:\WINDOWS\system32\drivers\wcnagie.sys
                                                               
3、用SRE删除以下服务（如果有的话）：
      
                                  File Replication / File Replication
                                  Event Service / Tech

4、用SRE删除以下驱动（如果有的话）：
      
                                   aphz / aphzg
                                   BaseTDI / BaseTDI
                                   heqetf3 / heqetf38
                                   ncio / ncio
                                   vwwyoi5 / vwwyoi50
                                   wcnagie / wcnagie
                                   
5、重启计算机，全盘杀毒。病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:50 编辑 ]

winhelp.dll病毒清除方案

病毒名称:Win32.Troj.PSWReXue.Cr
病毒文件:winhelp.dll
病毒分类:木马类

病毒分析:
       该病毒修改注册表创建系统服务 并且注入钩子winhelp.dll病毒模块实现自启动，运行后连接特定服务器开启后门服务，允许恶意攻击者远程控制计算机。

行为分析:
1、释放winhelp.dll到目录C:\WINDOWS\system32\

2、同时在C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles 添加诸如d952f971fad7f0f3b0e75200727c38d8.dll木马备份文件

3、添加如下启动项
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      <internet><C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll>

__________________________________________________________

清除方案:

1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
    清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、显示“受保护的操作系统文件”
    使用unlocker删除以下文件：
                                 
                                 C:\WINDOWS\system32\winhelp.dll
                                 C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll
                                  (注意:后面的这个文件不一定是这个名字,形式像这样的)

3、用SRE修改注册表,删除以下键：
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>(有两个)
      
      <internet><C:\Documents and Settings\a\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll>

4、重启计算机，全盘杀毒.病毒清除完毕。

Trojan-psw.win32.nilage.bft清除方案

病毒名称： Trojan-psw.win32.nilage.bft
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

--------------------------------------------------------------------------------
清除方案：
1、关闭系统还原，结束以下进程（如果有的话）：
     winlog0n.exe，userinit.exe

2、显示“受保护的操作系统文件”
    使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\WINDOWS\winlog0n.exe
                                 C:\WINDOWS\system.exe
                                 C:\DOCUME~1\XIAOLU~1\LOCALS~1\Temp\userinit.exe

3、用SRE修改注册表，删除以下键（如果有的话）：
   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <l><C:\WINDOWS\winlog0n.exe>
    <dguz2ig5s><C:\WINDOWS\system.exe>  

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]     
   <winrun><C:\DOCUME~1\XIAOLU~1\LOCALS~1\Temp\userinit.exe>

4、用SRE修复TXT文件关联.

5、重启计算机，全盘杀毒.病毒清除完毕。

Trojan-psw.win32.nilage.azd清除方案

病毒名称： Trojan-psw.win32.nilage.azd
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

--------------------------------------------------------------------------------
清除方案：
1、关闭系统还原，结束以下进程（如果有的话）：
     mhs2.exe，Systemt.exe，rxs3.exe，wls3.exe，svhost32.exe

2、显示“受保护的操作系统文件”
     使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\WINDOWS\mhs2.exe
                                 C:\WINDOWS\Systemt.exe
                                 C:\WINDOWS\rxs3.exe
                                 C:\WINDOWS\wls3.exe
                                 C:\Program Files\Microsoft\svhost32.exe
                                 C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

3、修改注册表，删除以下项（如果有的话）：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mytsf><C:\DOCUME~1\KY_16\LOCALS~1\Temp\csrss.exe>  
    <mhs2><C:\WINDOWS\mhs2.exe>  
    <NiceMt><C:\WINDOWS\Systemt.exe>  
    <rxs3><C:\WINDOWS\rxs3.exe>  
    <wls3><C:\WINDOWS\wls3.exe>  

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk>

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <ms><; C:\Program Files\Microsoft\svhost32.exe>  

4、重启计算机进入安全模式，删除C:\DOCUME~1\用户名\LOCALS~1\Temp\所有文件。

5、重启计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:53 编辑 ]

Trojan.Win32.VB.atg病毒分析及解决办法


病毒名称：Trojan.Win32.VB.atg（Kaspersky,ewido）
病毒类型：木马类
特征文件：autorun.inf和tel.xls.exe
传播途径：一切移动存储设备
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒症状：
        插进U盘后各个杀毒软件（当然要最近更新的）发出警报，之后系统盘全部无法直接双击打开，右键点击多出“Auto”字样。杀完病毒后，双击U盘会出现“打开方式”，但“始终…………”一栏变为不可选！注意注意！这和ROSE病毒的现象很相似！请看完症状再确定如何处理！同时，所有隐藏文件无法显形！并且没有设置“显示隐藏文件”选项。msconfig启动项中增加SockA.exe一项，有的情况下还有algsrv.exe和FileKan.exe，每个文件夹下都有Excel图标模样的文件tel.xls.exe（隐藏）和autorun.inf（隐藏），只能在dos底下dir/a看到。进程中会出现algsrv.exe、FileKan.exe几个可疑进程。注意注意！发现可疑症状后不要打开QQ，以免被盗号！

病毒行为：
        盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件发送到指定邮箱。

杀毒方法：
       1、首先在安全模式下开启电脑（开机狂点F8），打开注册表(开始—运行—regedit回车）在HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL一个Key处检查，有个checkedvalue吧？把它删了，然后右键点击空白处添加一个dword值CheckedValue并把它的键值改为1，然后就可以在文件夹选项里让隐藏文件暴露出来了！（如果这一步不会做，看这个：http://hi.baidu.com/peaset/blog/ ... db048b461064de.html 中“文件夹选项默认值”部分）
       2、在任务管理器（ctrl+alt+del出)里，把sockA.exe,algsrv.exe,fileken.exe几个可疑进程（有的话）结束，然后到系统盘下的\windows\system32\里找到这几个文件，把他们全部删除！（不是扔进回收站，直接shift+del!)
       3、然后在每个盘里找到autorun.inf和tel.xls.exe，删掉！
       4、进入注册表，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run一处找到键值含sockA.exe，algsrv.exe,fileken.exe这几个之中任一个的，删掉！
       5、然后到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\这里，把C-你最后一个逻辑盘符中关于auto的分支全部删掉！之后你就能正常打开所有硬盘！
       6、在注册表内分别搜索sockA.exe，algsrv.exe,fileken.exe，搜到的项一律删除。
       7、病毒清除完毕。
------------------------------------------------------------------------------------
题外话：
       1、应用批处理100%防U盘病毒及解决系统重装后二次中毒的问题：
           http://hi.baidu.com/peaset/blog/ ... 2a7d36aec3abaf.html
   
       2、禁用移动设备的自动运行功能（目的在于避免重新被U盘感染）：把下面的代码保存为1.reg，双击运行导入注册表即可。
---------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
---------------------------------------------

autorun.vbs病毒解决办法

病毒症状：
        该病毒主要通过U盘感染，中毒现象表现为主机不停的发出声音，类似于读软盘的声音，打印机无法正常工作且驱动无法安装。打开“我的电脑”以后，无论双击哪个盘的图标，系统都会重新打开一个窗口，同时一些杀毒软件报告：regedit.exe程序试图修改注册表XXX键值，已被拦截。双击盘符无法打开，显示缺少autorun.vbs。  

解决办法：

(1)同时按住键盘上的“Ctrl＋Alt＋Del”键，选择“任务管理器”，选中“进程标签”，查看其中是否有一个名为“wscript.exe”的进程。如果有，极可能您已中毒。.

(2)如有上述现象，可以通过如下方法删除此病毒：

1、下列红色虚线中的代码复制到记事本保存后将扩展名改为.bat 双击运行即可。

--------------------------------------------------------------------------------------------------------------------
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersi /v ShowSuperHidden /t REG_DWORD /d 1 /f
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
--------------------------------------------------------------------------------------------------------------------

2、需要修改注册表

点“开始”－>“运行”，输入regedit

在注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

下查找autorun.vbs

把数值修改成explorer.exe %1 就可以打开硬盘了

提示：所有硬盘分区都要改

在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下，找userinit，xp的正确数值应该是c:\windows\system32\userinit.exe, (包括逗号)

3、病毒清除完毕。

解析便宜吧（pian18.com）的流氓行为

流氓现象：
        有弹出网页,系统速度变慢,没有卸载项/无法卸载,强制安装,浏览器劫持,干扰其它软件正常运行,
        历史操作:在桌面生成“便宜吧”网址，自动添加于收藏夹，有其他弹出网页现象，并下载木马程序到本地执行。

行为分析：
        1、病毒运行后产生以下文件：桌面上“便宜吧”快捷方式，收藏夹数个网站
                                                        C:\WINDOWS\system32\winbill061226.dll（061216为当前日期）
                                                        C:\WINDOWS\mshostsvr.exe
                                                        C:\WINDOWS\system32\3721.7.dll
2、添加如下启动项：
              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
               <bill><rundll32.exe "C:\WINDOWS\system32\winbill061226.dll " mymain>

         3、添加如下服务项：
              [host Service For Windows / mshostsvr][Stopped/Auto Start]
               <C:\WINDOWS\mshostsvr.exe>

         4、添加如下浏览器加载项：
               []{AF6B23D1-481E-425D-99A2-614F709FFEDD} <C:\WINDOWS\system32\3721.7.dll>

         5、从网络上随机下载木马盗号及黑客程序，包括灰鸽子、onlinegame.cc等等。
“便宜吧”清除方法：
         1、用SRE删除以下注册表项：
              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
               <bill><rundll32.exe "C:\WINDOWS\system32\winbill061226.dll " mymain>

         2、用SRE删除如下服务项：
               [host Service For Windows / mshostsvr][Stopped/Auto Start]
               <C:\WINDOWS\mshostsvr.exe>

         3、用SRE删除以下浏览器加载项：
                []{AF6B23D1-481E-425D-99A2-614F709FFEDD} <C:\WINDOWS\system32\3721.7.dll>

         4、用KILLBOX删除以下病毒文件：
                                                        C:\WINDOWS\system32\winbill061226.dll（061216为当前日期）
                                                        C:\WINDOWS\mshostsvr.exe
                                                        C:\WINDOWS\system32\3721.7.dll
         5、重启系统，删除收藏夹内垃圾网页。

         6、以上只是手工清除“便宜吧”流氓，其余的木马病毒另外处理。目前已知的可能存在的木马病毒包括：灰鸽子、Trojan-PSW.Win32系列。
         
Trojan-PSW.Win32.Nilage.avi病毒分析及清除方法

病毒名称：Trojan-PSW.Win32.Nilage.avi
病毒类型：木马类
感染系统：WINDOWS98以上
开发工具： Borland Delphi 5.0

病毒描述：
        该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。病毒主程序使用了rookit技术，使得杀软无法识别，病毒主程序运行后释放两个子程序并注入系统进程。

行为分析：
       1、病毒运行后衍生病毒文件：
       C:\WINDOWS\Microsoft\rundll32.exe   
       C:\WINDOWS\system32\dt.dll                                           其中dt.dll、897va.dll   由rundll32.exe释放
       C:\DOCUME~1\user\LOCALS~1\Temp\897va.dll（此文件为随机命名）  


       2、修改注册表，添加启动项，以达到随机启动的目的：
            [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            <Micro><C:\WINDOWS\Microsoft\rundll32.exe>
-----------------------------------------------------------------------------------------------------------------------------

清除方法：
         1、关闭系统还原，结束进程rundll32.exe；      

         2、显示“受保护的操作系统文件”
              使用unlocker删除以下两个文件：
                                                             C:\WINDOWS\Microsoft\rundll32.exe
                                                             C:\WINDOWS\system32\dt.dll


         3、修改注册表，删除以下项：
              [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
               <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

         4、重启计算机，清空临时文件（即删除Temp目录下文件），病毒清除完毕。


出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:59 编辑 ]

algssl.exe（tel.xls变种）病毒的手动清除

此病毒为tel.xls的最新变种，作为隐藏文件存在于盘符根目录下。更可恶的是，由于病毒的原因，在“文件夹选项”里的“显示隐藏文件”选项无效，这让手动删除病毒更加困难。（诺顿、卡巴萨基对此病毒无效并可能被病毒强行关闭）

清除方法：
1、 首先在“任务管理器”中终止进程“algssl.exe”。
2、“开始”－“运行”regedit，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除病毒创建的字符串值"CheckedValue"="0" 新建DWORD值CheckedValue=1。
3、“控制面板”－“文件夹选项” 选择“显示隐藏文件，显示系统保护的文件”。
4、“开始”-“搜索”-“搜索文件和文件夹”-选择“搜索隐藏文件和文件夹”在每个盘的根目录中的“autorun.inf”和“tel.xls.exe”都是病毒（彻底删除，其他文件夹中的不是）。
5、进入C:\Windows\system32目录，按“修改时间”排序，在后面找到algssl.exe文件以及生成的附属病毒文件msime80.exe、msfir80.exe。
6、“开始”－“运行”regedi，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中删了所有msime80.exe与msfir80.exe的项。
7、“开始”－“运行”msconfig，“启动”里取消msime80.exe和msfir80.exe。
8、重启，清除完毕。

Trojan-PSW.Win32.Delf.oc病毒分析与解决方案

病毒名称：Trojan-PSW.Win32.Delf.oc（Kaspersky）
病毒别名：Trojan.PSW.QQPass.qxp（瑞星）
　　　　　 Win32.Troj.PSW.QQ.34086（毒霸）
病毒文件：isignup.sys    isignup.dll
病毒大小：34,003 字节
加壳方式：NSPack
传播方式：通过恶意网页传播，其它木马下载


技术分析
这是一个盗Q木马，运行后复制自身到：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
释放动态链接库文件注入进程：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys

在当前目录生成_xiaran.bat删除主程序原文件：

:try
del "exe"
if exist "exe" goto try
del %0

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"
创建注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
"DL"="2"
清除步骤
1. 删除病毒创建的ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll

4. 删除病毒创建的注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]


Trojan-PSW.Win32.OnLineGames.ar解决方案

病毒名称：Trojan-PSW.Win32.OnLineGames.ar（Kaspersky）
病毒文件：system16.sys ，system.jmp
加壳方式：UPX
传播方式：通过恶意网页传播、其它木马下载

技术分析
1、运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp，释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。

2、创建ShellExecuteHooks：
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

3、设置注册表信息：
CODE:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]

清除步骤
1. 删除注册表里病毒创建的ShellExecuteHooks信息：
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys

4. 删除病毒创建的注册表信息：
CODE:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]

Trojan.PSW.wowar.rg（sb.dll、temp.exe）的手工查杀

病毒名称：Trojan.PSW.wowar.rg

清除方法：
         打开进程：按 ctrl+Alt+Delete ，在"进程"中 把explorer.exe 进程关闭，这时候会发现 桌面空白了，但是进程窗口还在，然后在 “应用程序”下面 "新任务.." 重新输入 explorer.exe 会重新回到桌面。此时到 C:\Program Files\Internet Explorer\PLUGINS\ 下 把SB.DLL删除；C:\Program Files\Internet Explorer\PLUGINS\temp.exe 是隐藏文件，打开隐藏文件的查看，可以直接删除掉。

注意：如果以上删除SB.DLL的方法不会，可以使用unlocker解除锁定后删除。

手工清除 wsctf.exe和EXPLORER.EXE 病毒

手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件，并解决开机自动弹出我的文档故障！

今天将U盘插入电脑，双击U盘竟然提示要用别的方式打开，退出时退不了，打开进程管理器发现多了wsctf.exe和EXPLORER.EXE，用msconfig查看发现了两个进程sctf.exe和EXPLORER.EXE。

在C盘直接搜索无法搜索出wsctf.exe和EXPLORER.EXE；

直接进入C:\WINDOWS\system32下面搜索可以出来：wsctf.exe和EXPLORER.EXE。

调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程，然后shift+del删除wsctf.exe和EXPLORER.EXE。

然后，运行-msconfig-启动，删了上面的两个启动。

最后在注册表里查找这两个文件的表值并删除，注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象H盘之类).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE

应修改为如下：
Userinit = C:\WINDOWS\system32\userinit.exe,

[ 本帖最后由 幸运的西瓜 于 2007-8-11 19:05 编辑 ]

system18.sys ,system.jmp盗Q木马解决方案


病毒名称：Trojan.PSW.QQPass.qta（瑞星）
病毒大小：30,816 字节
加壳方式：UPX
传播方式：通过恶意网页传播、其它木马下载

技术分析
运行后复制自身到：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
在相同位置释放dll注入进程：
%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

创建ShellExecuteHooks：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""

在注册表中添加信息：

[HKEY_CURRENT_USER\Software\Ms\tnnd]
"First"="No"

清除步骤
1. 删除病毒创建的ShellExecuteHooks项：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6E44887F-5214-41F2-AB46-4728735C4CC6}"

2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

4. 删除注册表内容：

[HKEY_CURRENT_USER\Software\Ms]

5. 病毒清理完毕。

sxs.exe、rose.exe病毒及清理办法

现象描述：
系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开。

sxs.exe为rose.exe修改而来。以下以sxs.exe为例，rose.exe清除方法一样。

清除方法：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SuperHidden，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件——修复，即可。

Trojan-PSW.Win32.OnLineGames.cc病毒分析及清除办法

病毒名称： Trojan-PSW.Win32.OnLineGames.cc
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

行为分析：
1、病毒运行后衍生病毒文件：
   C:\WINDOWS\system32\dt.dll                          其中dt.dll由rundll32.exe释放
   C:\WINDOWS\Microsoft\rundll32.exe
   C:\program files\internet explorer\use6.dll
   各个分区（除C盘以外）根目录下：Autorun.inf及mplay.com
   
2、修改C:\\WINDOWS\system32\drivers\etc\hosts，添加如下规则：
                       
                       HOSTS 文件
                       127.0.0.1       localhost
                       58.215.74.216    new3.etsoft.com.cn
                       58.215.74.216    www.gaodumm.com
                       58.215.74.216    www.88cc8.com
                       58.215.74.216    wg770.com
   
3、修改注册表，添加启动项，以达到随机启动的目的：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <main><rundll32.exe "C:\program files\internet explorer\use6.dll" mymain>

4、该病毒盗取用户敏感信息，包括网络游戏的账号与密码等：
     病毒文件Microsoft\rundll32.exe由自启动直接运行，处于系统进程列表；病毒文件use6.dll由系统rundll32.exe调用；病毒文件dt.dll注入系统所有进程。

--------------------------------------------------------------------------------
清除方案：
新添加Trojan-PSW.Win32.OnLineGames.cc专杀工具:（附件中）


手工清除方法:
1、关闭系统还原，结束两个进程rundll32.exe；

2、显示“受保护的操作系统文件”
     使用unlocker删除以下三个文件：C:\WINDOWS\Microsoft\rundll32.exe
                                 C:\program files\internet explorer\use6.dll
                                 C:\WINDOWS\system32\dt.dll
3、修改注册表，删除以下两项：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <main><rundll32.exe "C:\program files\internet explorer\use6.dll" mymain>

4、使用unlocker删除C:\\WINDOWS\system32\drivers\etc\hosts

5、使用资源管理器（开始-所有程序-附件-windows资源管理器）打开各个分区，删除所有分区下面的Autorun.inf及mplay.com
（这步为关键一步，请小心，否则前功尽弃，如有不会，请使用autorun专用清除及免疫工具最终完美版

6、重启计算机，病毒清除完毕。

[ 本帖最后由 幸运的西瓜 于 2007-8-11 19:11 编辑 ]

木马下载器（WinInfo.rxk WinInfo.