这次彻底完蛋了

auada1025

不知道中了什么病毒，所有杀软都不能用了

卡巴6.0，360，打开都没有反应

而且用ctrl+shift+del也打不开

幸好装了个AVG，不过开机也不能自动运行

从里面看每次有个flower.exe的进程在里面

冰刃也打不开，真是无语了

大家想个办法帮帮我啊

我行我素2008

推荐：http://bbs.kafan.cn/viewthread.php?tid=175204&extra=page%3D1


刻盘，dos下厮杀

magicx

File: flower.exe
Size: 33280 bytes
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
Modified: 2007年12月17日, 12:24:54
MD5: D1156D88FCCA98716F360608BC1D256D
SHA1: 22BB3FCAA2C34C2E3426735A84F787A999994860
CRC32: 5EFE4F65

技术细节：
1.病毒运行后，释放如下副本及文件：
%systemroot%\system32\Flower.dll
%systemroot%\system32\Flower.exe

2.提升自身权限，并试图使用TerminaProcess结束如下进程
360tray.exe
360safe.exe

并试图关闭avp.exe的句柄

3.把系统时间改为2005年

4.添加映像劫持项目，劫持某些杀毒软件和安全工具
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
···························

中间可能是为了使得机器不太卡，每添加几个劫持项目便休息50ms

5.关闭带有某些指定字样的窗口
防火墙
杀毒
江民
金山
木马
超级巡警
NOD32
安全
主线程
微点

6.把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值改为0x00000000
破坏显示隐藏文件

7.启动一个空壳的spoolsv.exe进程，将病毒代码写入进去，然后会加载Flower.dll和urlmon.dll进行下载操作
http://www.*/p2p/1.exe
http://www.*/p2p/2.exe
http://www.*/p2p/3.exe
http://www.*/p2p/4.exe
http://www.*/p2p/5.exe

下载病毒释放路径为C:\Documents and Settings下面，并命名为servicesa.exe~servciese.exe
下载的病毒有鸽子还有些盗号木马

中毒后的sreng日志如下：

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{upxdnd}{%systemroot%\upxdnd.exe} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Image File Execution Options\360rpt.exe]
    {IFEO[360rpt.exe]}{%systemroot%\system32\Flower.exe} [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Image File Execution Options\360Safe.exe]
    {IFEO[360Safe.exe]}{%systemroot%\system32\Flower.exe} [Microsoft Corporation]...
==================================
服务
[vqwoeu / vqwoeu][Running/Auto Start]
{%systemroot%\system32\svchost.exe -k vqwoeu--}%SystemRoot%\System32\gbwzhx.dll}{N/A}


清除办法：
下载sreng：
http://bbs.kafan.cn/viewthread.php?tid=104665&highlight=sreng

1.重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目 注册表
删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{upxdnd}{%systemroot%\upxdnd.exe} []

并删除所有红色的IFEO项目

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
vqwoeu / vqwoeu

系统修复－高级修复 全选 点击修复

2.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统盘
删除%systemroot%\system32\Flower.dll
%systemroot%\system32\Flower.exe
%systemroot%\upxdnd.exe
%systemroot%\system32\upxdnd.dll
%SystemRoot%\System32\gbwzhx.dll


参考：
http://hi.baidu.com/deak17/blog/ ... 9e0c35afc3abb0.html

[ 本帖最后由 magicx 于 2007-12-22 21:38 编辑 ]

aiping

中间可能是为了使得机器不太卡，每添加几个劫持项目便休息50ms

看来编写者还挺有人情味，怕伤害对方机器

auada1025

感谢各位，暂时控制住了