一个病毒，请大家杀一下

XhawLin

这个病毒会修改注册表，使你看不到系统隐藏的文件

nod32和瑞星都杀不了，但是感染别的exe文件可以由瑞星修复或者删除。（貌似在apotoshop目录下生成n多类似文件：滤镜使用.exe）

在启动里面加入～。exe文件

生成两个进程smss.exe和lsass.exe


密码：123

dragonson

下载了不敢运行，用SAV 10.1.6.6000 2007.12.11 rev. 2扫了一下没发现病毒。

ahu

咔吧7发现，有密码保护杀不了！

XhawLin

卡巴好强！

瑞星经过我反映后
升级可杀

但是加密的rar文件还是不能杀

gooogle

我用咔吧6.0  杀死他了
证据如下

ydm

该病毒symantec称为w32.pagipef.l!inf病毒

病毒特征
    该病毒结合了熊猫烧香病毒、AV终结者病毒等多种攻击手段，其主要行为如下：
    在注册表KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
的Type值写入乱码（原为checkbox）
   
    1、当病毒执行时，创建以下文件(假冒系统文件的lsass.exe 和smss.exe)：
%Systemroot%\system32\Com\lsass.exe    (属性：RHSA)
%Systemroot%\system32\Com\smss.exe  (属性RHSA)
%Systemroot%\system32\Com\netcfg.000
%Systemroot%\system32\Com\netcfg.dll
在系统每次启动时加载（正常的lsass.exe和smss.exe位于%Systemroot%\system32目录下）

    2、创建以下注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1
       
    然后删除以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    修改以下键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "91"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"Type" = "72 00 61 00 64 00 69 00 6F 00 00 00 6F 00 78 00 00 00 00 00 62 00 00 00 6F 00 00 00 78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 0A 00 00 00 58 00 01 00 08 00 01 00 11 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 14 00 00 00 22 00 01 00 08 00 01 00 12 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FC 00 27 00 EB 00 76 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0A 00 00 00 1E 00 00 00 2C 00 01 00 08 00 01 00 13 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\"409" = "Controls safely scriptable!"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}\"409" = "Controls safely initializable from persistent data!"
    即使资源管理器打开显示所有文件，也看不到病毒

    3、破坏系统安全模式，试图进入安全模式会蓝屏崩溃或自动重新启动
    4、复制自身到每个驱动器根下，名称为pagefile.pif(HSRA属性)，并在每个驱动器字母根下创建autorun.inf文件(HSRA)

        5、使用双进程守护技术，监视对方的存在和自身、注册表项等,如被修改或删除，则重写，并尝试终止包含以下字符串的进程：
asm
ida
softice
ollydbg
metapad
mozillauiwindowclass
ieframe
cabinetwclass
360

    6、使用IE浏览器隐藏模式访问以下网站：（可变）
[http://]js.k0102.com/ad.  *
[http://]www.265dm.cn/adjs *
[http://]laji.xrlyy.com/js *
[http://]xyk.txhi.com/heh  *

    7、重新计算机命令插入参数 shutdown -r -t 0

    8、此蠕虫也感染目标计算机上的所有.exe文件，即使系统重新安装，如不小心使用了其它盘的可执行文件，病毒将卷土重来。

    9、除第一条提及的文件外，另外还有以下可疑文件（不一定全是该病毒的文件，可能是其它木马病毒的文件）：

%Systemroot%\system32目录下：(属性RHSA)

dnsq.dll.673281,
dnsq.dll,
ntfsus.exe,
wpcap.dll,
pthreadvc.dll,
packet.dll
000.cfg0

%Systemroot%\system32\drivers目录下：
npf.sys
alg.exe
     
    8、蠕虫在网上进行ARP扫描、欺骗和攻击。

二、解决方法：

1、使用PE光盘(系统维护光盘)引导到WINPE模式

删除各磁盘根下的autorun.inf和pagefile.pif文件

删除%Systemroot%\system32\Com\lsass.exe  
    %Systemroot%\system32\Com\smss.exe  
删除%Systemroot%\system32\drivers\目录下的npf.sys和alg.exe

删除%Systemroot%\system32目录下的
nsq.dll.673281,
dnsq.dll,
ntfsus.exe,
wpcap.dll,
pthreadvc.dll,
packet.dll
000.cfg0
PowerRmv.com 101KB

为抑制病毒再次生成，在上述目录下分别建立和病毒文件名相同的子目录

建议全部删除 C:\Documents and Settings\%user%\Local Settings\Temp目录下的文件
建议全部删除 C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\目录下的文件

2、使用金山自动运行专杀工具AutoRunKiller.exe和av终结者专杀工具DubaTool_AV_Killer2.COM扫描杀除磁盘

3、使用SRENG2.5修复安全模式

4、设置pe工作目录到硬盘windows目录，运行注册表编辑器，修复上面提到的键值

5、重新启动计算机到安全模式，升级杀病毒软件到最新代码，运行全系统扫描(所有磁盘分区)，修复被感染的文件。

6、检查系统安全设置，(管理员密码是否为空，安装所有的补丁程序),关闭不必要的服务，关闭不必要的防火墙端口。

7、安装360安全卫士扫描木马、恶意插件等。

修复工具大家自己到网上找一找吧^_^

11383

:funk: 发明该病毒的家伙不怕没了JJ!;21

ahu

真勇敢，你还敢解开！  

升卡7把，在点击链接的时候就发现了，不让下载，设置了下才下下来的！

gooogle

原帖由 ahu 于 2007-12-13 15:44 发表
真勇敢，你还敢解开！  

升卡7把，在点击链接的时候就发现了，不让下载，设置了下才下下来的！

没关系了 我的机器随时有冰点保护着呢。一直信赖冰点的 这次也没让我死亡重启一切干干净净。哈哈;0

i815ep-t

解压后，卡巴７完成能杀光，还行