cyn124309 发表于 2008-6-11 07:14

病毒virus.win32.virut.n怎么也杀不了,请救命

请高手多多请教,小人不胜感谢!

mirk 发表于 2008-6-11 09:58

病毒名称: Virus.Win32.Virut.n
病毒类型: 病毒类
文件 MD5: 34D360D7A178F8D9CF9E2A8D6A93B536
公开范围: 完全公开
危害等级: 5
文件长度: 40,221 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 伪装为Borland Delphi v3.0的FSG 2.0变形壳

病毒描述:

  病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置
文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自
身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,
锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火
墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需
要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中
毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病
毒主要通过移动磁盘进行传播。

行为分析:
本地行为:

1、文件运行后会释放以下文件:

    %DriveLetter%\autorun.inf
    %DriveLetter%\.exe
    %ProgramFiles%\.inf
    %ProgramFiles%\meex.exe
    %ProgramFiles%\Common Files\System\.exe
    %ProgramFiles%\Common Files\Microsoft Shared\.exe
  
2、新建注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run]
    注册表值: "@"
    类型: REG_SZ
    值: "C:\Program Files\Common Files\System\.exe"
    描述: 启动项,使病毒文件在当该系统的所有用户登陆该系统时,
    运行病毒文件。 

3、新增注册表,添加映像劫持项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows NT\CurrentVersion\
    Image File Execution Options\被映像劫持的文件名称
    注册表值: "Debugger"
    类型: REG_SZ
    值:"C:\Program Files\Common Files\Microsoft Shared\.exe"
    描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
    将不执行该文件,而是执行映像文件。

    被映像劫持的文件名称列表如下:
    360rpt.exe、360Safe.exe、360tray.exe、
    adam.exe、AgentSvr.exe、AppSvc32.exe、
    ArSwp.exe、AST.exe、autoruns.exe、
    avconsol.exe、avgrssvc.exe、AvMonitor.exe、
    avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
    EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
    FYFireWall.exe、HijackThis.exe、IceSword.exe、
    iparmo.exe、Iparmor.exe、isPwdSvc.exe、
    isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、
    KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
    KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
    KISLnchr.exe、KMailMon.exe、KMFilter.exe、
    KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
    KRepair.com、KsLoader.exe、KVCenter.kxp、
    KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
    KVMonXP_1.kxp、kvol.exe、kvolself.exe、
    KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
    KVStub.kxp、kvupload.exe、kvwsc.exe、
    KvXP.kxpKvXP_1.kxp、KWatch.exe、KWatch9x.exe、
    KWatchX.exe、loaddll.exe、MagicSet.exe、
    mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、
    Navapw32.exe、nod32.exe、nod32krn.exe、nod32kui.exe、
    NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
    QQDoctor.exe、QQKav.exe、Ras.exe、Rav.exe、
    RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
    RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwsrv.exe、
    RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、
    safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
    SREng.EXE、symlcsvc.exe、SysSafe.exe、
    TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
    UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
    UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、
    UpLive.exe、USBCleaner.exe、vsstat.exe、
    webscanx.exe、WoptiClean.exe


4、修改注册表,锁定隐藏文件的显示,禁用服务,开启自动播放:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer
    \Advanced\Folder\Hidden\SHOWALL]
    新建键值:DWORD:" CheckedValue"="0"
    原键值:DWORD:" CheckedValue"="1"
    CheckedValue
    描述:锁定隐藏文件的显示

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\policies\Explorer]
    新建键值:DWORD:"NoDriveTypeAutoRun"="145"
    原键值:DWORD:" NoDriveTypeAutoRun"="0"
    描述:开启自动播放功能。

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\helpsvc]
    新建键值:DWORD:"Start"="4"
    原键值:DWORD:"Start"="2"
    描述:禁用系统帮助服务,修改启动方式“自动”为“禁用”

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\SharedAccess]
    新建键值:DWORD:"Start"="4"
    原键值:DWORD:"Start"="2"
    描述:禁用入侵保护服务,修改启动方式“自动”为“禁用”
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\wscsvc]
    新建键值:DWORD:"Start"="4"
    原键值:DWORD:"Start"="2"
    描述:禁用系统防火墙服务,修改启动方式“自动”为“禁用”

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\wuauserv]
    新建键值:DWORD:"Start"="4"
    原键值:DWORD:"Start"="2"
    描述:禁用系统自动更新服务,修改启动方式“自动”为“禁用”

5、删除注册表,无法进入安全模式:

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Control\SafeBoot\Minimal
    \{4D36E967-E325-11CE-BFC1-08002BE10318}]
    注册表值: "@"
    类型: REG_SZ
    字符串:"DiskDrive"
    描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
    使用户无法进入安全模式。
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Control\SafeBoot\Network
    \{4D36E967-E325-11CE-BFC1-08002BE10318}]
    注册表值: "@"
    类型: REG_SZ
    字符串:"DiskDrive"
    描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
    使用户无法进入安全模式。

   
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                

    

--------------------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒(推荐), 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用Atool“进程管理”关闭病毒进程:
      %ProgramFiles%\Common Files\System\.exe
      %ProgramFiles%\Common Files\Microsoft Shared\.exe
    (2)删除病毒文件:
      %DriveLetter%\autorun.inf
      %DriveLetter%\.exe
      %ProgramFiles%\.inf
      %ProgramFiles%\meex.exe
      %ProgramFiles%\Common Files\System\.exe
      %ProgramFiles%\Common Files\Microsoft Shared\.exe
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
      恢复下列各项
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Explorer
      \Advanced\Folder\Hidden\SHOWALL]
      新建键值:DWORD:" CheckedValue"="0"
      原键值:DWORD:" CheckedValue"="1"
      CheckedValue
      描述:锁定隐藏文件的显示
      [HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows\CurrentVersion
      \policies\Explorer]
      新建键值:DWORD:"NoDriveTypeAutoRun"="145"
      原键值:DWORD:" NoDriveTypeAutoRun"="0"
      描述:开启自动播放功能。
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\helpsvc]
      新建键值:DWORD:"Start"="4"
      原键值:DWORD:"Start"="2"
      描述:禁用系统帮助服务,修改启动方式“自动”为“禁用”
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
      \Services\SharedAccess]
      新建键值:DWORD:"Start"="4"
      原键值:DWORD:"Start"="2"
      描述:禁用入侵保护服务,修改启动方式“自动”为“禁用”
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\wscsvc]
      新建键值:DWORD:"Start"="4"
      原键值:DWORD:"Start"="2"
      描述:禁用系统防火墙服务,修改启动方式“自动”为“禁用”
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\wuauserv]
      新建键值:DWORD:"Start"="4"
      原键值:DWORD:"Start"="2"
      描述:禁用系统自动更新服务,修改启动方式“自动”为“禁用”
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
      \Control\SafeBoot\Minimal
      \{4D36E967-E325-11CE-BFC1-08002BE10318}]
      注册表值: "@"
      类型: REG_SZ
      字符串:"DiskDrive"
      描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
      使用户无法进入安全模式。
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
      \Control\SafeBoot\Network
      \{4D36E967-E325-11CE-BFC1-08002BE10318}]
      注册表值: "@"
      类型: REG_SZ
      字符串:"DiskDrive"
      描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
      使用户无法进入安全模式。

      删除下列各项
      [HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows\CurrentVersion\Run]
      注册表值: "@"
      类型: REG_SZ
      值: "C:\Program Files\Common Files\System\.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows NT\CurrentVersion
      \Image File Execution Options
      \被映像劫持的文件名称
      注册表值: "Debugger"
      类型: REG_SZ
      值:"C:\Program Files\Common Files
      \Microsoft Shared\.exe"
      描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
      将不执行该文件,而是执行映像文件。
      被映像劫持的文件名称列表如下:
      360rpt.exe、360Safe.exe、360tray.exe、
      adam.exe、AgentSvr.exe、AppSvc32.exe、
      ArSwp.exe、AST.exe、autoruns.exe、
      avconsol.exe、avgrssvc.exe、AvMonitor.exe、
      avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
      EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
      FYFireWall.exe、HijackThis.exe、IceSword.exe、
      iparmo.exe、Iparmor.exe、isPwdSvc.exe、
      isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、
      KASMain.exe、KASTask.exe、KAV32.exe、
      KAVDX.exe、KAVPF.exe、KAVPFW.exe、
      KAVSetup.exe、KAVStart.exe、KISLnchr.exe、
      KMailMon.exe、KMFilter.exe、KPFW32.exe、
      KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
      KRepair.com、KsLoader.exe、KVCenter.kxp、
      KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
      KVMonXP_1.kxp、kvol.exe、kvolself.exe、
      KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
      KVStub.kxp、kvupload.exe、kvwsc.exe、
      KvXP.kxpKvXP_1.kxp、KWatch.exe、KWatch9x.exe、
      KWatchX.exe、loaddll.exe、MagicSet.exe、
      mcconsol.exe、mmqczj.exe、mmsk.exe、
      Navapsvc.exe、Navapw32.exe、nod32.exe、
      nod32krn.exe、nod32kui.exe、NPFMntor.exe、
      PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
      QQDoctor.exe、QQKav.exe、Ras.exe、Rav.exe、
      RavMon.exe、RavMonD.exe、RavStub.exe、
      RavTask.exe、RegClean.exe、rfwcfg.exe、
      rfwmain.exe、rfwsrv.exe、RsAgent.exe、
      Rsaupd.exe、rstrui.exe、runiep.exe、
      safelive.exe、scan32.exe、shcfg32.exe、
      SmartUp.exe、SREng.EXE、symlcsvc.exe、
      SysSafe.exe、TrojanDetector.exe、
      Trojanwall.exe、TrojDie.kxp、UIHost.exe、
      UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
      UmxFwHlp.exe、UmxPol.exe、upiea.exe、
      UpLive.exe、USBCleaner.exe、vsstat.exe、
      webscanx.exe、WoptiClean.exe

g-boy 发表于 2008-6-23 12:19

le jie le !!谢谢!!!

卡巴终结者 发表于 2008-7-8 21:00

飞刀李 发表于 2008-7-8 21:56

作为一款辅助杀软,安天防线2008在感染式病毒的清除方面确实还存在一些不足。
不过,安天的程序员们近日正在突击解决这方面的问题。
预计最近某个版本的安天防线,将会对感染式病毒提供强有力的清除能力,敬请期待。
正是由于朋友们的关心与爱护,安天防线才能不断地健康成长!

末代小酷 发表于 2009-5-16 20:08

我的是WIN32/Virut.BA可恶,无助啊!!谁能救救我啊!

eva002 发表于 2009-5-17 07:58

建议下载金山毒霸系统急救箱试下 然后在用安天清除残留病毒

eva002 发表于 2009-5-17 07:58

运行急救箱的时候改名运行 例如:111.exe等

Conners 发表于 2009-6-3 17:05

用S.R.Eng扫分报告扔上来
页: [1]
查看完整版本: 病毒virus.win32.virut.n怎么也杀不了,请救命