今天剛剛中毒了，簡單分析一下！

happyzcq911

剛在壇里闲逛！ 点了一下 会员xxx 的 签名 打开一个网站 恶梦 开始啦！
只见NOD32  弹出  病毒 提示！心想 已经拦截到了 就没管它 ，哎  
不到 10秒   NOD32 关闭 中招！
先讲下 中毒的 的一些 症状！
1. 对 系统做 镜像挟持 所有安全 软件 一律 干掉了

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360se.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360SoftMgrSvc.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360speedld.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwServ.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastUI.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avfwsvc.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avmailc.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avshadow.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avwebgrd.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="ntsd -d"

还删除不少  时间关系 要下班了 ，下午再来！
我們繼續！
2. 運行后感染 D:\ 所有 .EXE 文件（有几个 却没有被感染 xue TR RADMIN )我的E盘野没事（這作者 和D盤 有仇？？？不解）


3.在C盤 開始菜單啟動目錄中 加入  一個 desktop.ini.exe 文件 rar 自解压文件 里面 一个 host 文件
内容如下：
74.82.186.142   www.taobao.com
74.82.186.142   taobao.com
74.82.186.142   mall.taobao.com
74.82.186.142   lady.taobao.com
74.82.186.134   www.xunlei.com
74.82.186.134   xunlei.com
74.82.186.134   www.dygod.net
74.82.186.134   dygod.net
74.82.186.134   www.m1905.com
74.82.186.134   m1905.com
74.82.186.134   www.tom365.com
74.82.186.134   tom365.com
74.82.186.134   www.pipi.cn
74.82.186.134   www.funshion.com
74.82.186.134   www.3edyy.com
74.82.186.134   www.y80s.com
74.82.186.134   www.y80s.cn
74.82.186.134   www.a67.com
74.82.186.134   www.qiyi.com
74.82.186.134   www.hao3gp.com
74.82.186.134   www.22mp4.com
74.82.186.134   www.youku.com
74.82.186.134   www.chinafilm.com
74.82.186.134   www.360.cn
74.82.186.134   360.cn
74.82.186.134   www.56.com
看来 这家活 野心不小，盯上 淘宝了。

4.在 D盘 释放 AUTORUN.INF 和 SYSTEM.EXE   这两个文件 作用 就不需要在讲了了吧。
在 中毒 把它 压缩 高手 可以 研究下 （貌似 是用易语言 写的）

system.rar (314.67 KB, 下载次数: 19)

2010-9-28 14:50 上传

点击文件名下载附件

NOD32能杀得到的

5  这是 最主要的 一个文件  一个 .SYS 驱动文件。释放到SYSTEM32目录
这个文件 我用   xue tr  WSYSCHECK.EXE   WS 能查出来 但是 始终没办法 删除 这个 .sys 驱动
期间 我用 WS 强制 卸载  结果 蓝屏了。  马上 换 XUE TR 上场  这回 点 卸载并删除 顺利KILL 掉了
（PS：这里再次感谢 XUE Tr 的 作者。提供这么强大的工具   这病毒居然没把它 感染。。。嘿嘿：）
再看看 nod32 拦截的 网马 地址：如图


好了 这个 驱动 已删除  重启 我的 NOD32 终于出来了 ， 到此 手动 杀毒完毕。

本人才疏学浅 只能分享一下 手工杀毒的 过程 各位 高手请勿见笑！
为了保险起见  下午 还是还原了 系统  呵呵！

qin2556130

Windows注册表编辑器5.00版
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项]
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360hotfix.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360rp.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360rpt.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360safe.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360safebox.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360sd.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360se.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360SoftMgrSvc.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360speedld.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ 360tray.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ afwServ.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ ast.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ AvastUI.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avcenter.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avfwsvc.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avgnt.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avguard.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avmailc.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avp.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avshadow.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ avwebgrd.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ bdagent.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ CCenter.exe]
“调试”=“的NTSD - D”的
[HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \图像文件执行选项\ ccSvcHst.exe]

果粒

想不到你这么的不幸，节哀顺变

q3508955

哈哈 你牛B啊

hanchaoxx22b

谁的签名，怎么不说出来

寂寞地发呆

回复 2# qin2556130


    你只是怎么搞的啊

happyzcq911

回复 5# hanchaoxx22b

不是我不想 說出來 是不記得 是那個了啊，剛翻遍了坛子 也没看到！

dragons

= =那他的签名是写什么的本来。。

happyzcq911

記得 一點 好像 寫的 是  各大論壇 開放註冊

dragons

那个我记得写的不是吾爱论坛开放注册吗- -