下载者又更新了，好像能过NOD32

穿的嘻哈

在前几天就看到这个 最新的下载者 忘了取到样本 今天刚拿到 这个下载  E眼 ,avast 还有其他的杀毒软件没试都 不过这两个今天没报

运行病毒down
释方
C:\Program Files\Common Files\Microsoft Shared\MSInfo\A1D29050.dll
A1D29050.dll马上注入 C:\WINDOWS\explorer.exe

现在开始修改注册表对电脑破坏了

注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   注册表值： ProxyServer
注册表键： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
   挂起进程：C:\WINDOWS\hcmdbcs.exe
   注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   注册表值： hcmdbcs
      值： C:\windows\hcmdbcs.exe

   注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
   注册表值： SavedLegacySettings   新的值:
      类型: REG_BINARY

   注册表键： HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
   注册表值： Epoch

      类型: REG_DWOR
   路径： C:\Documents and Settings\穿的嘻哈\Local Settings\Temp\Gjzo0.dll
挂钩类型：WH_MOUSE（监控鼠标）.
      值： 00000122


   注册表键： HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
   注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

   注册表值： {2905A1D2-A1D2-9050-D290-1D2051D29050}
   注册表键： HKCR\CLSID\{2905A1D2-A1D2-9050-D290-1D2051D29050}\InProcServer32
      值： C:\Program Files\Common Files\Microsoft Shared\MSINFO\A1D29050.dll

以下动作：无法显示隐藏文件 增加病毒启动项
导致SSM 冰刃 SREng

如果你试着用Unlocker1删除A1D29050.dll就会出现以下动作  麻烦起来了
使用C:\Program Files\Common Files\System\directdb.exe
反复的调用IEXPLORE.EXE，notepad.exe

允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。
允许程序执行其代码于另一程序上


以下是修改注册表

注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
   注册表值： SavedLegacySettings
      修改后值： 3C000000BE0000000100000000000000...
连接 ttp://w1.love9g.com/love.htm 下载病毒
释放其他病毒文件并运行

C:\Program Files\Common Files\System\TempA.exe
C:\Documents and Settings\穿的嘻哈\Local Settings\Temp\LgSy0.dll（注入 C:\WINDOWS\explorer.exe）
C:\Program Files\Common Files\System\TempC.exe
C:\Program Files\Common Files\System\TempC.exe
C:\Program Files\Common Files\System\TempC.exe
C:\Documents and Settings\穿的嘻哈\Local Settings\Temp\fyzo0.dll（监控鼠标）
C:\Program Files\Common Files\System\TempD.exe
C:\Documents and Settings\穿的嘻哈\Local Settings\Temp\Rav30.dll
C:\Program Files\Common Files\System\TempF.exe
C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\winlog0n.exe
C:\Program Files\Common Files\System\TempF.exe
C:\Documents and Settings\穿的嘻哈\Local Settings\Temp\LgSy1.dll
C:\Program Files\Common Files\System\TempH.exe
C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\rundl132.exe

增加启动项
dw19j0jblqx92v  值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\iexpl0re.exe

fvredj3r5   值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\1explore.exe


   h5ti3l8yvi9sb5   值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\winlog0n.exe
um8 值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\rundl132.exe
     
      这个是病毒的全部动作 QQ安全检查被破坏 如果你运行QQ 以上的动作会在次运行一变
U盘也会被感染


会关闭 avast 瑞星 其他的没试  360安全卫士回无法使用
等下写出解决 方法

穿的嘻哈

不足 之处  谢谢 指出


解决方法：

需要工具：procexp，SREng.bat，费尔木马清除助手,360安全卫士
后面3个在都被病毒所禁用 还好procexp 能使用
我们用它来解决病毒第一步
打开procexp-找到C:\WINDOWS\explorer.exe-属性-选择线程-找到A1D29050.dll-结束

现在你的后面3个工具都可以使用了
使用SREng-点系统修复-windowns /ie -全选 -修复（修复无法显示隐藏文件）

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系

统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名

使用
费尔木马清除助手找到
C:\Program Files\Common Files\Microsoft Shared\MSInfo\A1D29050.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\A1D29050.dat
清除遏制（虽然动了它会下载病毒 ）

大量是病毒生成（不用担心）
使用SREng-使用 启动选项 -注册表 删除以下启动项

dw19j0jblqx92v  值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\iexpl0re.exe
fvredj3r5   值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\1explore.exe
h5ti3l8yvi9sb5   值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\winlog0n.exe
um8 值： C:\DOCUME~1\穿的嘻哈\LOCALS~1\Temp\rundl132.exe
hcmdbcs 值： C:\windows\hcmdbcs.exe
{2905A1D2-A1D2-9050-D290-1D2051D29050}  值： C:\Program Files\Common Files\Microsoft

Shared\MSINFO\A1D29050.dll

找到
C:\Program Files\Common Files\System\*temp(就是有Temp的都删除)
重下载安装360安全卫士 清除流氓软件
晴空IE临时文件夹

使用
费尔木马清除助手
删除C:\Documents and Settings\你的用户名\Local Settings\Temp
里面所有的文件
删除C:\windows\hcmdbcs.exe

删除QQ（不要卸载不然病毒会在次生成）文件夹

重起 使用超级巡警或者其他的杀毒软件 全盘查杀
装上QQ

aoyang

修复是好，不过防御最重要。上个帖子里（也是这个下载者）已经讲解了怎么防御 不给它权限，它就米办法了

马力

驱逐舰不报