xiaoshen.exe U盤病毒的處理

運行 xiaoshen.exe 後 訪問網絡 生成
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\update2.exe
C:\WINDOWS\system32\update3.exe
C:\WINDOWS\system32\update4.exe
C:\WINDOWS\system32\update9.exe
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\host[1].txt
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\63U70503\up5[1].jpg
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\B006ZRBG\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\B006ZRBG\up2[1].jpg
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\LRVZUX8H\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\LRVZUX8H\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\OZENOVM1\desktop.ini
C:\Documents and Settings\mopery\Local Settings\Temporary Internet Files\Content.IE5\OZENOVM1\desktop.ini

還在每個盤符下 生成
xiaoshen.exe 和 autorun.inf

C:\WINDOWS\system32\drivers\etc\hosts
內容爲
127.0.0.1 qq.etsoft.com.cn
61.152.90.31 zt.abcoll.com


然後 Update.exe 那幾個分別運行..

C:\WINDOWS\system32\Update.exe
就寫入一個注冊表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[Update] C:\WINDOWS\system32\Update.exe


C:\WINDOWS\system32\update2.exe
釋放文件
C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dat
C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll
C:\WINDOWS\Help\wshmcepts.chm
修改係統文件 C:\WINDOWS\system32\verclsid.exe 爲 C:\WINDOWS\system32\verclsid.exe.bak

注冊表項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
[]

HKCR\CLSID\\InProcServer32
[默認]C:\Program Files\Common Files\Microsoft Shared\MSINFO\50948A91.dll

具體參考:http://forum.ikaka.com/topic.a...rtid=8201339


C:\WINDOWS\system32\update3.exe
生成文件
C:\DOCUME~1\mopery\LOCALS~1\Temp\mc21.tmp
C:\nxldr.dat

注冊表項
HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv


C:\WINDOWS\system32\Update4.exe
生成文件
C:\20061023.dat
C:\20061026.dat
C:\WINDOWS\system32\Ravdm.exe
C:\WINDOWS\system32\Drivers\Rinld.sys

hosts 添加 125.65.77.72 qo263.com...

C:\WINDOWS\system32\Ravdm.exe 具體的處理方法參考:http://forum.ikaka.com/topic.a...rtid=8156736


C:\WINDOWS\system32\update9.exe
生成文件
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ztdll.dll

注冊表項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[rzt] C:\WINDOWS\Intel\rundll32.exe
具體的處理方法..安全模式下操作..

先清空IE臨時文件夾..
刪除文件
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\update2.exe
C:\WINDOWS\system32\update3.exe
C:\WINDOWS\system32\update4.exe
C:\WINDOWS\system32\update9.exe

右鍵 打開 盤符
刪除
xiaoshen.exe 和 autorun.inf

C:\WINDOWS\system32\drivers\etc\hosts 用 記事本 打開..
127.0.0.1 localhost
下面的全部刪除..


C:\WINDOWS\system32\Update.exe


處理方法
刪除注冊表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[Update]


C:\WINDOWS\system32\update2.exe
參考:http://forum.ikaka.com/topic.a...rtid=8201339 處理..


C:\WINDOWS\system32\update3.exe
處理方法
刪除文件
C:\DOCUME~1\mopery\LOCALS~1\Temp\mc21.tmp
C:\nxldr.dat

打開注冊表 刪除
HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv


C:\WINDOWS\system32\Update4.exe
參考:http://forum.ikaka.com/topic.a...rtid=8156736 處理..


C:\WINDOWS\system32\update9.exe
處理方法
刪除文件
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ztdll.dll

打開注冊表 刪除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[rzt]


以上操作全部需要在安全模式下...