promised 请转移我的经验给woai_jolin,感谢woai_jolin的帮助

lanvin

Symantec: Backdoor.Haxdoor.D
Trend Micro: BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL
PandaLabs: HAXDOOR.AW
F-Secure: Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al
Sophos: Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE
Kaspersky Lab: Backdoor.Win32.Haxdoor.bg
McAfee: BackDoor-BAC

10经验作为感谢

[ 本帖最后由 lanvin 于 2007-8-12 10:05 编辑 ]

woai_jolin

http://bbs.kafan.cn/viewthread.php?tid=92733&highlight=%B8%D5%CC%E1%C8%A1%B5%C4%C9%FA%B3%C9%CE%EF
Started scanning at 2007-8-12 10:00:30. Engine Ver: 31.1.0. Sig Ver:5050. Sig Date: 2007-8-11. ArcLib Ver: 7.3.0.9.
F:\v\新建文件夹.rar <新建文件夹\avpe64.sys> - Win32/Haxdoor!generic trojan. Quarantined.
F:\v\新建文件夹.rar <新建文件夹\qz.sys> - Win32/Haxdoor!generic trojan. Quarantined.
F:\v\新建文件夹.rar <新建文件夹\avpe32.dll> - Win32/Haxdoor!generic trojan. Quarantined.
F:\v\新建文~1.RAR - Could not open the file.
Files Scanned: 4
Files Infected: 3
Files Cleaned \ Deleted: 0
Files Quarantined: 1
Memory Infections: 0
Memory Infections Cleaned: 0
Boot Infections: 0
Boot Infections Cleaned: 0
Top infections found during scan (Limited to 10).
Win32/Haxdoor!generic
Files not Cleaned\Deleted\Quarantined (Limit 100): 0
Finished scanning at 2007-8-12 10:00:33.

HaxDoor 病毒创建了一个隐藏进程。此外，该病毒还隐藏文件和注册表项。HaxDoor 病毒的可执行文件可能有多个名称，但通常是 Mszx23.exe。该病毒的很多变种会在计算机上安放一个名为 Vdmt16.sys 或 Vdnt32.sys 的驱动程序。该驱动程序用来隐藏病毒进程。如果删除这些文件，HaxDoor 病毒变种可以恢复它们。

●解决方案
1. 打印下面的 Microsoft 知识库文章。参考该文章完成此过程。
307654 (http://support.microsoft.com/kb/307654/) 如何安装和使用 Windows XP 的恢复控制台
2. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
3. 找到以下注册表子项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify
4. 找到并删除注册表子项中任何引用“drct16”或“draw32”的项。
例如，可能会看到类似如下的项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
5. 插入 Windows XP 安装光盘，然后从光盘重新启动计算机。
6. 在“欢迎使用安装程序”屏幕上，按 R（修复）来启动 Windows 恢复控制台。
7. 选择与要修复的 Windows 安装对应的数字。该数字通常为 1。
8. 提示输入管理员密码时，请输入管理员密码。如果没有管理员密码，则按 Enter。
9. 在命令提示符处，移至 C:\Windows\System32 文件夹。例如，键入 cd C:\Windows\System32。
10. 使用 ren（重命名）命令将下列文件重命名为所示的名称。记住，每键入一个命令后都要按 Enter。如果出现“File not found”（找不到文件）消息，则移到列表中的下一个文件。
ren 1.a3d 1.a3d.bad
ren cm.dll cm.dll.bad
ren cz.dll cz.dll.bad
ren draw32.dll draw32.dll.bad
ren drct16.dll drct16.dll.bad
ren dt163.dt dt163.dt.bad
ren fltr.a3d fltr.a3d.bad
ren hm.sys hm.sys.bad
ren hz.dll hz.dll.bad
ren hz.sys hz.sys.bad
ren i.a3d i.a3d.bad
ren in.a3d in.a3d.bad
ren klo5.sys klo5.sys.bad
ren klogini.dll klogini.dll.bad
ren memlow.sys memlow.sys.bad
ren mszx23.exe mszx23.exe.bad
ren p2.ini p2.ini.bad
ren ps.a3d ps.a3d.bad
ren redir.a3d redir.a3d.bad
ren tnfl.a3d tnfl.a3d.bad
ren vdmt16.sys vdmt16.sys.bad
ren vdnt32.sys vdnt32.sys.bad
ren w32tm.exe w32tm.exe.bad
ren WD.SYS WD.SYS.bad
ren winlow.sys winlow.sys.bad
ren wmx.a3d wmx.a3d.bad
ren wz.dll wz.dll.bad
ren wz.sys wz.sys.bad
若要在完成后删除这些文件，请键入 del *.bad。
11. 取出 Windows XP 安装光盘，然后键入 Exit 以重新启动计算机。
12. 当计算机重新启动时，单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
13. 找到并删除下列注册表子项以及每个子项下可能存在的任何项。如果来自该列表的任何注册表子项都不存在，则移至列表中的下一个子项。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
14. 找到并删除下列注册表子项下包含 Mszx23.exe 文件名的任何项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
15. 退出注册表编辑器。
16. 确保已用最新的定义更新了防病毒和防间谍软件程序，然后执行一次完整的系统扫描。

●下列恶意软件已被防病毒供应商识别。
Symantec： Backdoor.Haxdoor.D
Trend Micro： BKDR_HAXDOOR.BC、BKDR_HAXDOOR.BN、BKDR_HAXDOOR.BA、BKDR_HAXDOOR.AL
PandaLabs： HAXDOOR.AW
F-Secure： Backdoor.Win32.Haxdoor、Backdoor.Win32.Haxdoor.al
Sophos： Troj/Haxdoor-AF、Troj/Haxdoor-CN、Troj/Haxdoor-AE
Kaspersky Lab： Backdoor.Win32.Haxdoor.bg
McAfee： BackDoor-BAC

[ 本帖最后由 woai_jolin 于 2007-8-12 10:03 编辑 ]

yurius

C:\virus\avpe64.sys - infected with BackDoor.Haxdoor.185
C:\virus\qz.sys - infected with BackDoor.Haxdoor.185
C:\virus\avpe32.dll - infected with BackDoor.Haxdoor.185

yashoo

已检测到: 木马程序 Backdoor.Win32.Haxdoor.gm        文件: E:\test\新建文件夹.rar/新建文件夹\avpe64.sys
已检测到: 木马程序 Backdoor.Win32.Haxdoor.gm        文件: E:\test\新建文件夹.rar/新建文件夹\qz.sys
已检测到: 木马程序 Backdoor.Win32.Haxdoor.hn        文件: E:\test\新建文件夹.rar/新建文件夹\avpe32.dll//UPX

promised

偶好像不能转只能加。

lanvin

你扣我的
然后给他加上