使杀毒软件无法启动的可怕病毒

转一个技术的 修改系统时间（只针对时间）2007-06-13 01:04建议下载安全360 （360TimeProt） 的时间保护功能 在安全模式杀毒软件再扫描 以下 是手动的方法 档案编号：CISRT2007024 病毒名称：Worm.Win32.Agent.t（Kaspersky） 病毒别名：Worm.Troj.Agent.t.51200（毒霸） Worm.Skla.a（瑞星） 病毒大小：51,200 字节 加壳方式：PE_Patch.PECompact PecBundle PECompact 样本MD5：31be55fe725959235f6f031834640a06 样本SHA1：69b6a642c89e3f5c6d4e76328aca4b6a5266661a 发现时间：2007.1 更新时间：2007.1 关联病毒： 传播方式：恶意网页、其它病毒下载，可通过U盘移动硬盘等移动存储设备传播 技术分析 ========== 这个病毒会在每个分区下释放病毒副本，文件名随机，通过autorun.inf利用系统“自动播放”功能运行，此外，病毒还会将计算机系统时间年份调到1980年，这样做可以使得某些反病毒软件不能正常工作。 病毒运行后向系统目录复制副本： %Windows%\{随机字母文件名}.exe 向各分区复制副本： X:\{随机字母文件名}.exe X:\Autorun.inf Autorun.inf内容： [autorun] open={随机字母文件名}.exe shellexecute={随机字母文件名}.exe shell\Auto\command={随机字母文件名}.exe shell=Auto 设置启动信息： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="%System%\userinit.exe,%Windows%\{随机字母文件名}.exe" 修改注册表调整“自动播放”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 修改注册表使“显示所有文件和文件夹”选项失效： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 调整系统时间年份到1980年，可使部分反病毒软件不能正常工作。 尝试访问网络下载其它病毒或恶意程序，在系统目录下还可能产生以下文本文件： %Windows%\Listss.txt %Windows%\Listsas.txt 清除步骤 ========== 1. 结束病毒进程： %Windows%\{随机字母文件名}.exe 2. 删除病毒文件： %Windows%\{随机字母文件名}.exe 3. 通过分区右键菜单的“打开”进入分区根目录，删除根目录下的病毒文件： X:\{随机字母文件名}.exe X:\Autorun.inf 4. 编辑注册表，删除病毒启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="%System%\userinit.exe," Windows XP/2003例： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\System32\userinit.exe," Windows 2000例： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINNT\System32\userinit.exe," 5. 编辑修改注册表“自动播放”设置，建议设置如下： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:000000ff 6. 编辑注册表恢复“显示所有文件和文件夹”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 7. 调整系统时间到当前正常年份（或合适年份） 方法一 预防： 先在任务管理器里结束sxs2.exe进程。 使用U盘和MP3时，先用WINRAR查看U盘和MP3 里有没有病毒文件。如果有，立即删除，再安全删除硬件。如果删除不了硬件，可以重新启动电脑，再拔除。 关于电脑中的病毒： 1. 先在任务管理器里结束sxs2.exe进程。 2.用WINRAR查看C，D，E，F盘根目录，删除病毒文件。如：autorun开头的病毒文件，sxs2的病毒文件。注意autoexe不要删啊。 3.使用注册表：打开注册表，查找sxs2.exe和sxs2.exe，把项全部删掉。 PS：使用WINRAR查看的方法。 WINRAR是压缩工具，一般电脑上都装了。 1. 从开始-------所有程序-------WINRAR-------进入WINRAR界面。 2. 文件------浏览文件夹------选择各盘目录（不用进入文件夹） 3. 删除病毒文件（一定要分清系统文件和病毒文件） 方法二： 清除步骤 ========== 1. 结束病毒进程： %Windows%\{随机字母文件名}.exe 2. 删除病毒文件： %Windows%\{随机字母文件名}.exe 3. 通过分区右键菜单的“打开”进入分区根目录，删除根目录下的病毒文件： X:\{随机字母文件名}.exe X:\Autorun.inf 4. 编辑注册表，删除病毒启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="%System%\userinit.exe," Windows XP/2003例： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\System32\userinit.exe," Windows 2000例： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINNT\System32\userinit.exe," 5. 编辑修改注册表“自动播放”设置，建议设置如下： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:000000ff 6. 编辑注册表恢复“显示所有文件和文件夹”设置： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 7. 调整系统时间到当前正常年份（或合适年份） 方法三： 【注意 本文中的 * 不是通配符的 * 切记切记。 】 又是个U盘病毒..文件名随机.. 具体写个分析.. 运行样本生成文件 C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\*.exe X:\*.exe X:\Autorun.inf X=C D E F H .... *=大小写字母随机命名 修改注册表 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 生成注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 访问网站 http://www.sinavip.net/A.asp?Id=5540850987 http://www.lcsm.cn/nami.htm Listsas.txt 内容为 4002http://www.sinavip.net/k1.rar 4003http://www.sinavip.net/ma.rar 30"http://www.lcsm.cn/nami.htm" 31"http://www.jing88.com/1ndex.asp" 31"http://www.ishici.com" listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步.. 内容一样.. 系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用.. 连网下载 C:\WINDOWS\003.exe C:\WINDOWS\002.exe 同时生成 C:\WINDOWS\002.txt C:\WINDOWS\003.txt 处理方法:(安全模式操作) 删除文件 C:\WINDOWS\002.exe C:\WINDOWS\002.txt C:\WINDOWS\003.exe C:\WINDOWS\003.txt C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\*.exe 【注意 此处是删除病毒生成的该文件，不是指所有的EXE文件！！切记切记。】 X:\*.EXE 【注意 此处是删除病毒生成的该文件，不是指所有的EXE文件！！切记切记。】 X:\Autorun.inf 修复注册表.. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue 编辑改成 1 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe, 删除注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00

这个老了 现在NB的是在kav等目录下放一个ws2_32.dll的文件夹，利用程序搜索链接库的特性 非常邪恶。。