Gbvgbv病毒（屏蔽杀毒软件）和清除教程

zjelva

http://www.eset.eu/encyclopaedia/win32-wapomi-e-worm-qvod-akg-virus-jadtre-gen-a-w32-b
eset有介绍：Win32/Wapomi.E 病毒是一种利用服务器服务中的漏洞进行传播的。

这个病毒运行后会自动生成gbvgbv*.exe进程 下载病毒后 禁用主流杀软后 自我结束gbvgbv*.exe文件

会自动生成随机的隐藏服务~~~

http://u.115.com/file/f06d1f8dfb
Gbvgbv病毒清除介绍！！！！

这种方法我测试过4、5次后 觉得最简单的一种 如果你还有更简单的方法 欢迎分享

这是一个外-挂里面提取的~~~如果大家想测试请关闭杀毒软件文件监控 再运行 测试 （请用虚拟机测试）

开了防毒软件实时监控肯定的会提示 这个我都已经上报了~~~

post8

360 miss

dalianjhc1986

ess kill

liulangzhecgr

2010-01-05 10:01:04        文件保护(创建文件)     操作:阻止
进程路径:F:\downloads\gbvgbv\gbvgbv.exe
文件路径:C:\WINDOWS\system32\2632050C.tmp

2010-01-05 10:01:09        文件保护(修改文件)     操作:阻止并结束进程
进程路径:F:\downloads\gbvgbv\gbvgbv.exe
文件路径:C:\WINDOWS\system32\appmgmts.dll

--------------------------------------------------------------
以身试毒...花2个多小时!不值得

感染性病毒!

[XueTr][IFEO]: 121
名称  劫持路径  文件厂商
360hotfix.exe  ntsd -d
360rp.exe  ntsd -d
360rpt.exe  ntsd -d
360safe.exe  ntsd -d
360safebox.exe  ntsd -d
360sd.exe  ntsd -d
360se.exe  ntsd -d
360SoftMgrSvc.exe  ntsd -d
360speedld.exe  ntsd -d
360tray.exe  ntsd -d
afwServ.exe  ntsd -d
ast.exe  ntsd -d
AvastSvc.exe  ntsd -d
AvastUI.exe  ntsd -d
avcenter.exe  ntsd -d
avfwsvc.exe  ntsd -d
avgcsrvx.exe  ntsd -d
avgemc.exe  ntsd -d
avgnsx.exe  ntsd -d
avgnt.exe  ntsd -d
avgrsx.exe  ntsd -d
avgtray.exe  ntsd -d
avguard.exe  ntsd -d
avgwdsvc.exe  ntsd -d
avmailc.exe  ntsd -d
avp.exe  ntsd -d
avshadow.exe  ntsd -d
avwebgrd.exe  ntsd -d
bdagent.exe  ntsd -d
CCenter.exe  ntsd -d
ccSvcHst.exe  ntsd -d
dwengine.exe  ntsd -d
egui.exe  ntsd -d
ekrn.exe  ntsd -d
FilMsg.exe  ntsd -d
kavstart.exe  ntsd -d
kissvc.exe  ntsd -d
kmailmon.exe  ntsd -d
knsd.exe  ntsd -d
knsdsvc.exe  ntsd -d
knsdtray.exe  ntsd -d
knsdwsc.exe  ntsd -d
kpfw32.exe  ntsd -d
kpfwsvc.exe  ntsd -d
kpopserver.exe  ntsd -d
krnl360svc.exe  ntsd -d
KSafeSvc.exe  ntsd -d
KSafeTray.exe  ntsd -d
ksmgui.exe  ntsd -d
ksmsvc.exe  ntsd -d
kswebshield.exe  ntsd -d
kvexpert.exe  ntsd -d
KVMonXP.exe  ntsd -d
KVMonXP.kxp  ntsd -d
kvol.exe  ntsd -d
KVSrvXP.exe  ntsd -d
kvxp.exe  ntsd -d
kwatch.exe  ntsd -d
kwstray.exe  ntsd -d
kwsupd.exe  ntsd -d
kxedefend.exe  ntsd -d
kxesapp.exe  ntsd -d
kxescore.exe  ntsd -d
kxeserv.exe  ntsd -d
kxetray.exe  ntsd -d
livesrv.exe  ntsd -d
mcagent.exe  ntsd -d
mcmscsvc.exe  ntsd -d
McNASvc.exe  ntsd -d
Mcods.exe  ntsd -d
McProxy.exe  ntsd -d
McSACore.exe  ntsd -d
Mcshield.exe  ntsd -d
mcsysmon.exe  ntsd -d
mcvsshld.exe  ntsd -d
mfefire.exe  ntsd -d
mfevtps.exe  ntsd -d
MOBKbackup.exe  ntsd -d
MpfSrv.exe  ntsd -d
MPMon.exe  ntsd -d
MPSVC.exe  ntsd -d
MPSVC1.exe  ntsd -d
MPSVC2.exe  ntsd -d
msksrver.exe  ntsd -d
MsSvHost.exe  ntsd -d
QQPCAddWidget.exe  ntsd -d
QQPCMgr.exe  ntsd -d
QQPCMgr_tz_Setup.exe  ntsd -d
QQPConfig.exe  ntsd -d
QQPCRTP.EXE  ntsd -d
QQPCTray.exe  ntsd -d
QQPCUPDATE.EXE  ntsd -d
qutmserv.exe  ntsd -d
RavMonD.exe  ntsd -d
RavTask.exe  ntsd -d
RsAgent.exe  ntsd -d
Rsmgrsvc.exe  ntsd -d
rsnetsvr.exe  ntsd -d
RsTray.exe  ntsd -d
safeboxTray.exe  ntsd -d
ScanFrm.exe  ntsd -d
sched.exe  ntsd -d
seccenter.exe  ntsd -d
SfCtlCom.exe  ntsd -d
spideragent.exe  ntsd -d
SpIDerMl.exe  ntsd -d
spidernt.exe  ntsd -d
spiderui.exe  ntsd -d
SuperKiller.exe  ntsd -d
TMBMSRV.exe  ntsd -d
TmProxy.exe  ntsd -d
Twister.exe  ntsd -d
UfSeAgnt.exe  ntsd -d
upsvc.exe  ntsd -d
V3PScan.exe  ntsd -d
V3SP.exe  ntsd -d
vgchsvx.exe  ntsd -d
VPSvc.exe  ntsd -d
vsserv.exe  ntsd -d
zhudongfangyu.exe  ntsd -d
修复工具.exe  ntsd -d

create file:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect\S-1-5-21-602162358-1482476501-725345543-500\00392667-8078-430b-9655-0e24328c79cd
C:\Documents and Settings\Administrator\Local Settings\Temp\0002F6F8ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\000325F8ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\000354D8ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\000383E7ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0003B2D6ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0003E1D5ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\000410C5ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00043FD4ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00046ED3ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00049DF2ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0004CF43ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0004FE61ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00052C47ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00055B85ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00058A26ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0005B926ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\0005E815ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00061715ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00064604ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\00067513ime.temp
C:\Documents and Settings\Administrator\Local Settings\Temp\26322032.log
C:\Documents and Settings\Administrator\Local Settings\Temp\~DF7C42.tmp
C:\Documents and Settings\Administrator\Recent\downloads (2).lnk
C:\Documents and Settings\Administrator\Recent\gbvgbv.lnk
C:\Documents and Settings\Administrator\Recent\gbvgbv.rar.lnk
C:\Documents and Settings\Administrator\Recent\未命名1.JPG (2).lnk
C:\WINDOWS\OOIIEProxy.ini
C:\WINDOWS\PCDNSetting.ini
C:\WINDOWS\system32\4F5C5C4F.sys
C:\WINDOWS\system32\comres.dll.bak
C:\WINDOWS\system32\comres.dll.ocx
C:\WINDOWS\system32\c_312747.nls
C:\WINDOWS\system32\dbr00012.ocx
C:\WINDOWS\system32\dbr01010.ocx
C:\WINDOWS\system32\dbr02009.ocx
C:\WINDOWS\system32\dbr05010.ocx
C:\WINDOWS\system32\dbr06016.ocx
C:\WINDOWS\system32\dbr07009.ocx
C:\WINDOWS\system32\dbr08011.ocx
C:\WINDOWS\system32\dbr09011.ocx
C:\WINDOWS\system32\dbr09012.ocx
C:\WINDOWS\system32\dbr10009.ocx
C:\WINDOWS\system32\dbr11008.ocx
C:\WINDOWS\system32\dbr12011.ocx
C:\WINDOWS\system32\dbr13010.ocx
C:\WINDOWS\system32\dbr14009.ocx
C:\WINDOWS\system32\dbr15010.ocx
C:\WINDOWS\system32\dbr16009.ocx
C:\WINDOWS\system32\dbr17007.ocx
C:\WINDOWS\system32\dbr18005.ocx
C:\WINDOWS\system32\dbr19006.ocx
C:\WINDOWS\system32\dbr20005.ocx
C:\WINDOWS\system32\dbr21003.ocx
C:\WINDOWS\system32\dbr22001.ocx
C:\WINDOWS\system32\ddraw.dll.bak
C:\WINDOWS\system32\dsound.dll.bak
C:\WINDOWS\system32\gbvgbv00.exe
C:\WINDOWS\system32\gbvgbv01.exe
C:\WINDOWS\system32\gbvgbv02.exe
C:\WINDOWS\system32\gbvgbv05.exe
C:\WINDOWS\system32\gbvgbv06.exe
C:\WINDOWS\system32\gbvgbv07.exe
C:\WINDOWS\system32\gbvgbv08.exe
C:\WINDOWS\system32\gbvgbv09.exe
C:\WINDOWS\system32\gbvgbv10.exe
C:\WINDOWS\system32\gbvgbv11.exe
C:\WINDOWS\system32\gbvgbv12.exe
C:\WINDOWS\system32\gbvgbv13.exe
C:\WINDOWS\system32\gbvgbv14.exe
C:\WINDOWS\system32\gbvgbv15.exe
C:\WINDOWS\system32\gbvgbv16.exe
C:\WINDOWS\system32\gbvgbv17.exe
C:\WINDOWS\system32\gbvgbv18.exe
C:\WINDOWS\system32\gbvgbv19.exe
C:\WINDOWS\system32\gbvgbv20.exe
C:\WINDOWS\system32\gbvgbv21.exe
C:\WINDOWS\system32\gbvgbv22.exe
C:\WINDOWS\system32\msctfime.iem
C:\WINDOWS\system32\CatRoot2\tmp.edb
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\4df8d0f4-27cb-4676-85f4-3362a10a3b41
C:\WINDOWS\Temp\3e6c405d.rar
C:\WINDOWS\Temp\414113f9.exe
C:\WINDOWS\Temp\425f113f.rar
C:\WINDOWS\Temp\5e275964.exe
C:\WINDOWS\Temp\局域网密码嗅探器V2011加强版\局域网密码嗅探器 V2011加强版.exe
C:\WINDOWS\Temp\新建文件夹[1].part1\新建文件夹\复件 录像3.exe
C:\WINDOWS\Temp\新建文件夹[1].part1\新建文件夹\复件 录像3.htm
C:\WINDOWS\Temp\新建文件夹[1].part2\新建文件夹\复件 录像3.exe
C:\WINDOWS\Temp\新建文件夹[1].part2\新建文件夹\复件 录像3.htm
edit file:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Protect\S-1-5-21-602162358-1482476501-725345543-500\Preferred
C:\MaxDOS\uni.exe
C:\PETools\Extra\shortcut.exe
C:\Program Files\Epsilon Squared\InstallRite\Databases\Default.iwc
c:\system32\appmgmts.dll
C:\WINDOWS\system32\comres.dll
C:\WINDOWS\system32\ddraw.dll
C:\WINDOWS\system32\dsound.dll
C:\WINDOWS\system32\config\default
C:\WINDOWS\system32\config\default.LOG
C:\WINDOWS\system32\config\SAM
C:\WINDOWS\system32\config\SAM.LOG
C:\WINDOWS\system32\config\SECURITY
C:\WINDOWS\system32\config\SECURITY.LOG
C:\WINDOWS\system32\config\software
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system
C:\WINDOWS\system32\config\system.LOG
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
C:\WINDOWS\system32\wbem\Logs\wbemcore.log
C:\WINDOWS\system32\wbem\Logs\wbemess.log
C:\WINDOWS\system32\wbem\Logs\wmiprov.log
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
D:\program files\EQSecurePro\EQSandBox.exe
D:\program files\EQSecurePro\EQService.exe
D:\program files\EQSecurePro\EQSysSecure.exe
D:\program files\EQSecurePro\EQUpdate.exe
D:\program files\EQSecurePro\SRUpdate.exe
D:\WINDOWS\ie8updates\KB982381-IE8\ie4uinit.exe
D:\WINDOWS\inf\unregmp2.exe
D:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
D:\WINDOWS\system32\dllcache\cintsetp.exe
D:\WINDOWS\system32\dllcache\helpsvc.exe
D:\WINDOWS\system32\dllcache\ie4uinit.exe
D:\WINDOWS\system32\dllcache\imekrmig.exe
D:\WINDOWS\system32\dllcache\imkrinst.exe
D:\WINDOWS\system32\dllcache\logagent.exe
D:\WINDOWS\system32\dllcache\migrate.exe
D:\WINDOWS\system32\dllcache\moviemk.exe
D:\WINDOWS\system32\dllcache\mqbkup.exe
D:\WINDOWS\system32\dllcache\mqsvc.exe
D:\WINDOWS\system32\dllcache\mqtgsvc.exe
D:\WINDOWS\system32\dllcache\mshta.exe
D:\WINDOWS\system32\dllcache\mspaint.exe
D:\WINDOWS\system32\dllcache\mstsc.exe
D:\WINDOWS\system32\dllcache\sc.exe
D:\WINDOWS\system32\dllcache\services.exe
D:\WINDOWS\system32\dllcache\setup_wm.exe
D:\WINDOWS\system32\dllcache\telnet.exe
D:\WINDOWS\system32\dllcache\tintlphr.exe
D:\WINDOWS\system32\dllcache\tintsetp.exe
D:\WINDOWS\system32\dllcache\tlntsess.exe
D:\WINDOWS\system32\dllcache\tscupgrd.exe
D:\WINDOWS\system32\dllcache\unregmp2.exe
D:\WINDOWS\system32\dllcache\wmiprvse.exe
D:\WINDOWS\system32\dllcache\wmplayer.exe
D:\WINDOWS\system32\dllcache\wordpad.exe
E:\RECYCLER\S-1-5-21-602162358-1482476501-725345543-500\INFO2
E:\tools\tools\DEL Tools\FileTools\FileTools.exe
E:\tools\tools\DEL Tools\fire\fire.exe
E:\tools\tools\File Check\数字签名检测工具和MD5检测\数字签名检测工具和MD5检测\MD5验证工具.exe
E:\tools\tools\File Check\文件对比\d-0001.dat
E:\tools\tools\File Check\文件对比\e-0001.dat
E:\tools\tools\HIPS\eq\大小姐的高级询问规则\高级规则询问提示版1.0.rar
E:\tools\tools\HIPS\组策略\全局规则\全局规则.exe
E:\tools\tools\HIPS\组策略\简单规则\简单规则.exe
E:\tools\tools\Jupiter\Jupiter.exe
E:\tools\tools\XueTr吾爱破解论坛专版\XueTr.exe
E:\tools\tools\华彩文件扩展名批处理 (文件批量修改扩展名) 绿色版\华彩文件扩展名批处理.exe
F:\virus test-实机\G.rar
F:\virus test-实机\wmseditor.rar
F:\virus test-实机\局域网密码嗅探器V2011加强版\局域网密码嗅探器V2011加强版.rar
F:\virus test-沙盘\setup_BWninY3H\setup_BWninY3H.rar
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\AKLT.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\apt.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\BypassRegMon2.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\RatMsgFlood.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\TestRegmon.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\CLT\clt.exe
F:\virus-收藏\HIPS Test Tools\HIPS Test Tools\CLT\plugins\RunnerExe.exe
F:\virus-收藏\四大毒王\毒王\Setup.exe
F:\virus-收藏\四大毒王\毒王\xiaohao.exe
F:\virus-收藏\开玩笑-不是病毒\cjc.rar
F:\virus-收藏\开玩笑-不是病毒\cjc\cjc.exe
F:\virus-收藏\感染性病毒\XXX\XXX.rar
F:\virus-收藏\文件关联病毒\ww\ww.rar
F:\virus-收藏\文件关联病毒\ww\融合.exe

此病毒连收藏的病毒也修改;
不感染%progran files%;
感染非系统盘的可执行文件和压缩文件...
很像此贴的病毒 http://bbs.kafan.cn/thread-880075-1-1.html

又重装eq...去!

Johnny.R

avira kill

星晨

BitDefender

MPKYJoJO

微点杀毒干掉！

fatezero

KIS

对象被Backdoor.Win32.Agent.bdvc感染

留侯

大蜘蛛clean，已上报

diannao6051

瑞星 kill