挺好玩的一个病毒样本——玩这种病毒过瘾！

蓝色牛仔裤

所有带"毒 / 木马"字样的窗口会被强制关闭 ,　不管是ＩＥ窗口还是软件或者是文件夹！

今天一位聊友找我说他中了一个病毒，杀毒软件防火墙被关闭，电脑里带病毒字的文件夹打开就没有了，包括网页！叫他提取病毒样本传我，当场测试，觉得这个病毒挺好玩的，中毒后，除上述外，还不能显示隐藏文件，不但带病毒字体的文件夹一晃就没有了，包括autorun和扫描工具sreng都运行不了，甚至带“黑”字的文件夹也一晃就没了（杀流氓的软件和扫描工具改名也不能运行）而且进不了安全模式——只有冰刃能运行。msconfig和regedit能打开
大家有兴趣可以下载运行，真的挺好玩，很佩服这个病毒作者！~
该病毒没有进程，不进入服务，中毒后映像劫持。
玩这种病毒才过瘾，真的好玩。。。。。。
手动查杀：

1.删除各分区下的autorun.inf  和随机生成的一个*.exe文件，如：46F412A7.exe  用冰刃删除了就自动恢复，还是建议使用xdelbox1.2重启后删除病毒。
2.c:\program files\common files\microsoft shared\msinfo\46f412a7.dll
3.c:\program files\common files\microsoft shared\msinfo\46F412A7.dat
4.c:\docume~1\admini~1\locals~1\temp\avp.exe
    启动项目 －－ 注册表之如下项删除：
[{412A46F4-46F4-12A7-F412-6F42A6F412A7}]    <C:\Program Files\Common Files\Microsoft Shared\MSINFO\46F412A7.dll>
[mvs2rquct]    <; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\avp.exe>


最后使用autorun工具修复映像劫持

cheninot

Scan taken on 01 Jun 2007 01:23:30 (GMT)
A-Squared         Found nothing
AntiVir         Found WORM/Delf.CC.6
ArcaVir         Found Worm.Delf.Cc
Avast         Found Win32:Small-FAJ
AVG Antivirus         Found Worm/Delf.CIJ
BitDefender         Found Win32.Worm.Delf.NCV
ClamAV         Found Trojan.Agent-3107
Dr.Web         Found nothing
F-Prot Antivirus         Found nothing
F-Secure Anti-Virus         Found Worm.Win32.Delf.cc
Fortinet         Found Hook!tr
Kaspersky Anti-Virus         Found Worm.Win32.Delf.cc
NOD32         Found a variant of Win32/Delf.CC
Norman Virus Control         Found nothing
Panda Antivirus         Found nothing
Rising Antivirus         Found Trojan.PSW.Agent.jxv
VirusBuster         Found nothing
VBA32         Found Worm.Win32.Delf.cc

tracydk

这个也是秒杀

红心王子

斧头有点手痒了，KV又要开始
进行砍伐工作了，开始斩立决

qqq000@qq.com

----------
              [凝逸反毒] (http://hi.baidu.com/503165656)

       [凝逸.扫描病毒引擎-日志]       2007.6.1 9:35:50

文件:F:\070601\新建文件夹\8762195F.exe | 感染:木马 [138>2007_144854_0214.axx]3
操作:删除文件

文件:F:\070601\新建文件夹\47EAA951.exe | 感染:木马 [138>2007_144854_0214.axx]3
操作:删除文件


扫描完成|病毒:2 文件:2|耗时:411
----------

龙井茶

岳不群居然杀了。

福田

刚点击下载AVAST就报了！

下来一看，包里就剩autorun.inf了

wjjxqx

过不了咖啡！

taihuxian

Virus: Worm.Win32.Delf.cc (2x)

Virus found while downloading Web content.

Address: bbs.kafan.cn

Nblock

微点已知

[ 本帖最后由 Nblock 于 2007-6-1 12:25 编辑 ]