我的电脑中了美女游戏的病毒,该怎么杀?

显示全部楼层 · 发表于 2007-3-29 11:44:20

我的电脑中了美女游戏的病毒,该怎么杀?

显示全部楼层 · 发表于 2007-3-29 12:12:50

我对病毒不了解,下面是刚看到的

  oso.exe 美女游戏.pif 重要资料.exe分析报告

U盘病毒专杀工具－USBCleaner4.0正式版 Build20070128添加下列病毒的查杀：
此样本于2007年1月26日截获，采用记事本的图标，是一类IFEO映象劫持病毒，这在我以前分析的U盘病毒中还是第一次遇到，由于杀毒软件不修复被病毒破坏的注册表，导致杀毒后打开regedit.exe等被映象劫持的软件打开错误，USBCleaner4.0可完美修复这些注册表项，将oso.exe赶出你的系统。

病毒行为分析：病毒运行后，会不断打开run time error的消息提示，直到系统资源耗尽，当然用任务管理器，结束error窗口可暂时减少提示的生成。
生成文件如下：（以系统盘为C盘，XP SP2为例）
oso.exe的查杀
C:\WINDOWS\system32\drivers\conime.exe 38,132 字节
C:\WINDOWS\system32\drivers\mpnxyl.exe 38,132 字节
C:\WINDOWS\system32\gfosdg.dll 38,400
C:\WINDOWS\system32\gfosdg.exe 38,132
C:\WINDOWS\system32\severe.exe 38,132 字节
C:\WINDOWS\system32\hx1.dat 生成运行后自删除
C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库
C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节修改HOSTS文件，屏避对手的网站：
  127.0.0.1    localhost
127.0.0.1    mmsk.cn
127.0.0.1    ikaka.com
127.0.0.1    safe.qq.com
127.0.0.1    360safe.com
127.0.0.1    www.mmsk.cn
127.0.0.1    www.ikaka.com
127.0.0.1    tool.ikaka.com
127.0.0.1    www.360safe.com
127.0.0.1    zs.kingsoft.com
127.0.0.1    forum.ikaka.com
127.0.0.1    up.rising.com.cn
127.0.0.1    scan.kingsoft.com
127.0.0.1    kvup.jiangmin.com
127.0.0.1    reg.rising.com.cn
127.0.0.1    update.rising.com.cn
127.0.0.1    update7.jiangmin.com
127.0.0.1    download.rising.com.cn
127.0.0.1    dnl-us1.kaspersky-labs.com
127.0.0.1    dnl-us2.kaspersky-labs.com
127.0.0.1    dnl-us3.kaspersky-labs.com
127.0.0.1    dnl-us4.kaspersky-labs.com
127.0.0.1    dnl-us5.kaspersky-labs.com
127.0.0.1    dnl-us6.kaspersky-labs.com
127.0.0.1    dnl-us7.kaspersky-labs.com
127.0.0.1    dnl-us8.kaspersky-labs.com
127.0.0.1    dnl-us9.kaspersky-labs.com
127.0.0.1    dnl-us10.kaspersky-labs.com
127.0.0.1    dnl-eu1.kaspersky-labs.com
127.0.0.1    dnl-eu2.kaspersky-labs.com
127.0.0.1    dnl-eu3.kaspersky-labs.com
127.0.0.1    dnl-eu4.kaspersky-labs.com
127.0.0.1    dnl-eu5.kaspersky-labs.com
127.0.0.1    dnl-eu6.kaspersky-labs.com
127.0.0.1    dnl-eu7.kaspersky-labs.com
127.0.0.1    dnl-eu8.kaspersky-labs.com
127.0.0.1    dnl-eu9.kaspersky-labs.com
127.0.0.1    dnl-eu10.kaspersky-labs.com

X:\autorun.inf (X在此指非系统盘，不包括移动设备)
X:\oso.exe (X在此指非系统盘，不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif

注册表修改情况：
添加自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall\checkedvalue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mpnxyl
C:\windows\system32\gfosdg.exe
--------------------------------
gfosdg
C:\windows\system32\severe.exe
－－－－－－－－－－－－－－－－－－
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe C:\windows\system32\drivers\conime.exe

修改NoDriveTypeAutoRun值[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5

被映象劫持的软件名列表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\windows\system32\drivers\mpnxyl.exe 都是指向此项，以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

修改以下系统服务，如图：

关闭系统防火墙关闭杀毒软件服务关闭系统还原后重新开启（清除还原点达到防止用户用系统还原的方法来杀除病毒的目的）

用一个批处理hx1.dat
修改系统时间为2004-1-22 使防病毒软件失效

由于此病毒修改的内容较多手动修复相当麻烦，U盘病毒专杀工具USBCleaner可彻底清除此病毒。

转自  http://bbs.usbcleaner.cn/read.php?fid=5&tid=34&fpage=1    USBCleaner论坛

显示全部楼层 · 发表于 2007-3-29 12:14:25

我对病毒不了解,下面是刚看到的

  oso.exe 美女游戏.pif 重要资料.exe分析报告

U盘病毒专杀工具－USBCleaner4.0正式版 Build20070128添加下列病毒的查杀：
此样本于2007年1月26日截获，采用记事本的图标，是一类IFEO映象劫持病毒，这在我以前分析的U盘病毒中还是第一次遇到，由于杀毒软件不修复被病毒破坏的注册表，导致杀毒后打开regedit.exe等被映象劫持的软件打开错误，USBCleaner4.0可完美修复这些注册表项，将oso.exe赶出你的系统。

病毒行为分析：病毒运行后，会不断打开run time error的消息提示，直到系统资源耗尽，当然用任务管理器，结束error窗口可暂时减少提示的生成。
生成文件如下：（以系统盘为C盘，XP SP2为例）
oso.exe的查杀
C:\WINDOWS\system32\drivers\conime.exe 38,132 字节
C:\WINDOWS\system32\drivers\mpnxyl.exe 38,132 字节
C:\WINDOWS\system32\gfosdg.dll 38,400
C:\WINDOWS\system32\gfosdg.exe 38,132
C:\WINDOWS\system32\severe.exe 38,132 字节
C:\WINDOWS\system32\hx1.dat 生成运行后自删除
C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库
C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节修改HOSTS文件，屏避对手的网站：
  127.0.0.1    localhost
127.0.0.1    mmsk.cn
127.0.0.1    ikaka.com
127.0.0.1    safe.qq.com
127.0.0.1    360safe.com
127.0.0.1    www.mmsk.cn
127.0.0.1    www.ikaka.com
127.0.0.1    tool.ikaka.com
127.0.0.1    www.360safe.com
127.0.0.1    zs.kingsoft.com
127.0.0.1    forum.ikaka.com
127.0.0.1    up.rising.com.cn
127.0.0.1    scan.kingsoft.com
127.0.0.1    kvup.jiangmin.com
127.0.0.1    reg.rising.com.cn
127.0.0.1    update.rising.com.cn
127.0.0.1    update7.jiangmin.com
127.0.0.1    download.rising.com.cn
127.0.0.1    dnl-us1.kaspersky-labs.com
127.0.0.1    dnl-us2.kaspersky-labs.com
127.0.0.1    dnl-us3.kaspersky-labs.com
127.0.0.1    dnl-us4.kaspersky-labs.com
127.0.0.1    dnl-us5.kaspersky-labs.com
127.0.0.1    dnl-us6.kaspersky-labs.com
127.0.0.1    dnl-us7.kaspersky-labs.com
127.0.0.1    dnl-us8.kaspersky-labs.com
127.0.0.1    dnl-us9.kaspersky-labs.com
127.0.0.1    dnl-us10.kaspersky-labs.com
127.0.0.1    dnl-eu1.kaspersky-labs.com
127.0.0.1    dnl-eu2.kaspersky-labs.com
127.0.0.1    dnl-eu3.kaspersky-labs.com
127.0.0.1    dnl-eu4.kaspersky-labs.com
127.0.0.1    dnl-eu5.kaspersky-labs.com
127.0.0.1    dnl-eu6.kaspersky-labs.com
127.0.0.1    dnl-eu7.kaspersky-labs.com
127.0.0.1    dnl-eu8.kaspersky-labs.com
127.0.0.1    dnl-eu9.kaspersky-labs.com
127.0.0.1    dnl-eu10.kaspersky-labs.com

X:\autorun.inf (X在此指非系统盘，不包括移动设备)
X:\oso.exe (X在此指非系统盘，不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif

注册表修改情况：
添加自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall\checkedvalue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mpnxyl
C:\windows\system32\gfosdg.exe
--------------------------------
gfosdg
C:\windows\system32\severe.exe
－－－－－－－－－－－－－－－－－－
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe C:\windows\system32\drivers\conime.exe

修改NoDriveTypeAutoRun值[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5

被映象劫持的软件名列表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\windows\system32\drivers\mpnxyl.exe 都是指向此项，以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

修改以下系统服务，如图：

关闭系统防火墙关闭杀毒软件服务关闭系统还原后重新开启（清除还原点达到防止用户用系统还原的方法来杀除病毒的目的）

用一个批处理hx1.dat
修改系统时间为2004-1-22 使防病毒软件失效

由于此病毒修改的内容较多手动修复相当麻烦，U盘病毒专杀工具USBCleaner可彻底清除此病毒。

转自  http://bbs.usbcleaner.cn/read.php?fid=5&tid=34&fpage=1    USBCleaner论坛

显示全部楼层 · 发表于 2007-3-29 12:14:50

你可以去这个论坛上面去下一下工具,看可以不

我的电脑中了美女游戏的病毒,该怎么杀?

评分