是sbl病毒的变种之一。该病毒采用了映像劫持技术，杀毒软件无法启动，任务管理器无法启动以查看进程，格式化C盘重装系统仍然无法清除该病毒。该病毒同时下载各种木马病毒到中毒计算机。

病毒样本信息：

File: vistaAA.exe

Size: 35750 bytes

Modified: 2008年5月8日, 18:52:32

MD5: 7009AC302C6D2C6AADEDE0D490D5D843

SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E

CRC32: DCE5AE5A

病毒运行后：

1.释放一个sbl.sys到%system32%\\drivers下面，并拷贝一份覆盖beep.sys，之后加载该驱动，恢复SSDT钩子，导致某些杀毒软件的主动防御功能失效。

2.结束很多杀毒软件和安全工具的进程

诸如：

360rpt.exe

360Safe.exe

360tray.exe

avp.com

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

Rav.exe

RavMon.exe

RavMonD.exe

...

3.复制自身到\\config\\systemprofile\\下和%system32%下面

4.启动一个IE进程，连接网络

到http://***.kjxs.com/tj.asp进行感染统计

下载http://***.kjxs.com/liehuo.rar到%system32%\\Contxt.dat 该文件应该是需要下载的木马列表

但链接已经失效

5.映像劫持很多杀毒软件和安全工具和其他一些流行病毒：

360rpt.exe

360Safe.exe

360tray.exe

45.exe

5784dfgi.exe

adam.exe

AgentSvr.exe

appdllman.exe

AppSvc32.exe

auto.exe

AutoRun.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

cross.exe

dfcxfg.exe

Discovery.exe

FileDsty.exe

FTCleanerShell.exe

FuckAAAAAAA.exe

guangd.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

kernelwind32.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

logogo.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

pagefile.exe

pagefile.pif

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

regedit.Exe

regedit32.Exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

SDGames.exe

servet.exe

shcfg32.exe

SmartUp.exe

sos.exe

SREng.exe

SSDtDiscovery.exe

symlcsvc.exe

SysSafe.exe

taskmgr.exe

TNT.Exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

TxoMoU.Exe

U.exe

UFO.exe

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE

USBoot.exe

WoptiClean.exe

Wsyscheck.exe

XP.exe

xxxdgfdfg.exe

zxsweep.exe

~.exe

6.创建注册表启动项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<LoveHebeAA><C:\\WINDOWS\\system32\\vistaAA.exe>

达到开机启动自身的目的

7.创建一个计时器每1800秒启动一次病毒本身

清除方法：

下载sreng：http://www.skycn.com/soft/23312.html#download

1.重启计算机 进入

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng:

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<LoveHebeAA><C:\\WINDOWS\\system32\\vistaAA.exe>

删除所有红色的IFEO项目

2.删除如下文件C:\\WINDOWS\\system32\\vistaAA.exe

3.使用杀毒软件清除病毒下载的其他木马