周六我去给他安装了瑞星客户端杀毒,发现各盘下面的autorun文件的
open=hide.exe 查出了中了autorun.inf,Packer.Mian007,Trojan.DL.IEFrame.s和Trojan.DL.IEFrame.af几种病毒.
研究下面的sreng报告,我们可以发现以下几点是不正常的:
Autorun.inf下是不正常的,一般应该是N/A。
host 文件不正常,默认的只有第一条,病毒自动加载了病毒服务器的网址,
只要我们连网的话,后台自动去服务器下载病毒。
至于注册表内的变化,可以参照http://www.sstorm.cn/html/Virus/20070720/packer_mian007bingdudewanmeijiejuefangan_1507.html进行比较.
以下是sreng的部分主要扫描报告.
sreng下载地:
http://www.kztechs.com/sreng/download.html
Autorun.inf
[C:\]
[autorun]
open=Hide.exe
[D:\]
[autorun]
open=Hide.exe
[E:\]
[autorun]
open=Hide.exe
==================================
HOSTS 文件
127.0.0.1 localhost
222.88.91.80 www.9605899.com
222.88.91.80 hyap98.com
222.88.91.80 www.hyap98.com
222.88.91.80 82087871.com
222.88.91.80 www.82087871.com
222.88.91.80 47555.cn
222.88.91.80 nc.47555.cn
222.88.91.80 cn.47555.cn
222.88.91.80 crsky.47555.cn
222.88.91.80 www.47555.cn
(大家可别点那几个网址,其实就一台服务器,222.88.91.80 强烈声讨之。 )
驱动程序
[Service for Avance AC'97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Avance Logic, Inc.>
[BaseTDI / BaseTDI][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\basetdi.sys><Beijing Rising Technology Co., Ltd.>
[dump_wmimmc / dump_wmimmc][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\dump_wmimmc.sys><N/A>
[ExpScaner / ExpScaner][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\ExpScan.sys><>
[VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start]
<system32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
[HookCont / HookCont][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HOOKCONT.sys><Rising>
[HookReg / HookReg][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HookReg.sys><>
[HookSys / HookSys][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HookSys.sys><Rising>
[npkcrypt / npkcrypt][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[NPPTNT2 / NPPTNT2][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npptNT2.sys><INCA Internet Co., Ltd.>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsFwDrv / RsFwDrv][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
<\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\RSPPSYS.sys><Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[S3SavageNB / S3SavageNB][Running/Manual Start]
<system32\DRIVERS\s3gnbm.sys><S3 Graphics, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[ViaIde / ViaIde][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\viaide.sys><Microsoft Corporation>
Packer.Mian007杀毒方法:大家如果对注册表足够熟悉有有足够耐心的话,可以参照该网站杀毒。
http://www.sstorm.cn/html/Virus/20070720/packer_mian007bingdudewanmeijiejuefangan_1507.html
如果没耐心,首先修复host文件,先用sreng或者自己找到用记事本编辑host文件,把除第一条之外的解析。全部删除,防止病毒再去下载新的病毒。
然后我建议去载安装一个叫 USBCleaner6.0的软件,可以清理 antorun.inf病毒也可以关掉自动播放:),
官网下载地址: http://www.usbcleaner.cn/index1.htm#USBCleanerV6.0Build20070316(完全版),利用她来处理Autorun.inf。
如果还不放心,可以到自己手动到各分区下找到: antorun文件,(默认是隐藏的,可以通过修改文件加选项,如果还不显示,那就只能修改注册表了,首先进入安全模式,然后修改注册表:在运行中输入“regedit”打开注册表编辑器。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 将其中的“CheckedValue”键删除,因为病毒已将其类型改为“SZ”,及时将值改为“1” 也无法察看。删除后新建类型为“DWORD”的键,名称改为“CheckedValue”,键值为“1 ”。),然后可以找到文件,用记事本编辑,删除open=hide.exe
Trojan.DL.IEFrame.s和Trojan.DL.IEFrame.af的杀毒方法:
删除以下驱动
[npkcrypt / npkcrypt][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
并删除相应文件.
这是我自己写的和做的,具体网上并没有专门给出更简单的杀毒办法。如果对病毒感兴趣,可以去查阅更详细的日志参看sreng扫描报告:http://blog.chinaunix.net/u1/44851/showart_367445.html
ps:顺便说一句,大家开qq前最好,用qq医生检查一下自己的qq文件是否被破坏,并修复系统漏洞,以防止病毒更容易入侵你的系统.
