安天实验室 Worm.Win32.AutoRun.ag分析

安全响应·Security

病毒分析报告·Report

Worm.Win32.AutoRun.ag分析

出处：安天CERT 时间：2007-10-17 14：50

病毒标签：
	病毒名称： Worm.Win32.AutoRun.ag 中文名称： AutoRun蠕虫病毒类型：蠕虫类文件 MD5： E3C42777C667D65D710FC9409011BD9A 公开范围：完全公开危害等级： 4 文件长度：脱壳前26,220 字节，脱壳后151,552 字节感染系统： Windows9x以上版本开发工具： Borland Delphi 6.0 - 7.0 加壳类型： nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述：
	该病毒运行后，衍生病毒副本到系统目录下，连接网络下载病毒体到本机运行，添加注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项，以阻止用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程，以获取游戏账号信息。病毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。

行为分析：

本地行为：

1、文件运行后会衍生副本：

　　　　%Program Files%\meex.exe　　　 26,220 字节
　　　　%system32%\avwlcst.exe 　　　　14,970 字节
　　　　%system32%\avzxdst.exe 　　　　15,045 字节
　　　　%system32%\kaqhfaz.exe 　　　　13,988 字节
　　　　%system32%\kvdxdis.exe 　　　　14,387 字节
　　　　%system32%\kvdxscis.exe 　　　 13,919 字节
　　　　%system32%\kvmxeis.exe 　　　　14,322 字节
　　　　%system32%\rarjbtl.exe 　　　　14,474 字节
　　　　%system32%\rsmyesp.exe 　　　　15,040 字节
　　　　%system32%\addrgjhelp.dll 　　 8,714 字节
　　　　%system32%\addrwdhelp.dll 　　 8,265 字节
　　　　%system32%\addrz_thelp.dll 　　9,362 字节
　　　　%system32%\avwlcin.dll 　　　　57 字节
　　　　%system32%\avzxain.dll 　　　　57 字节
　　　　%system32%\kaqhfcs.dll 　　　　55 字节
　　　　%system32%\kvdxacf.dll 　　　　48 字节
　　　　%system32%\kvdxsacf.dll 　　　 50 字节
　　　　%system32%\kvmxecf.dll 　　　　53 字节
　　　　%system32%\qdshm.dll 　　　　　9,264 字节
　　　　%system32%\rarjani.dll 　　　　54 字节
　　　　%system32%\rsmyafg.dll 　　　　56 字节
　　　　%Program Files%\Common Files\System\udchniv.exe 26,220 字节
　　　　%Program Files%\Common Files\System\hpbnijr.inf
　　　　%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
　　　　%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
　　　　%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
　　　　%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
　　　　
2、新增注册表：
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值: hpbnijr
　　　　字符串:"%Program Files%\Common Files\System\udchniv.exe"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run\
　　　　键值: pefbutr
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{08E909A4-B236-48DD-8BCC-90A604B93E68}
　　　　键值: ""
　　　　字符串:"hook tl"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{2598FF45-DA60-F48A-BC43-10AC47853D52}
　　　　键值: ""
　　　　字符串: "rarjbpi.dll"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{3960356A-458E-DE24-BD50-268F589A56A3}
　　　　键值: ""
　　　　字符串: "avwlcmn.dll"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{3D561258-45F3-A451-F908-A258458226D3}
　　　　键值: ""
　　　　字符串: "kvdxscma.dll"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{4859245F-345D-BC13-AC4F-145D47DA34F4}
　　　　键值: ""
　　　　字符串: "avzxdmn.dll"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
　　　　键值: ""
　　　　字符串: "kvdxdma.dll"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{5D47B341-43DF-4563-753F-345FFA3157D5}
　　　　键值: ""
　　　　字符串: "kvmxema.dll"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
　　　　键值: ""
　　　　字符串: "rsmyepm.dll"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　　　\{67D81718-1314-5200-2597-587901018076}
　　　　键值: ""
　　　　字符串: "kaqhfzy.dll"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
　　　　键值: @
　　　　字符串: "%WINDIR%\System32\tldoor0.dll"

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
　　　　键值: daExeModuleName
　　　　字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
　　　　键值: @
　　　　字符串: "%WINDIR%\System32\kaqhfzy.dll"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
　　　　\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
　　　　键值: @
　　　　字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"

3、新增注册表下列映象劫持项：

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options
　　　　 \360rpt.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\360Safe.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\360tray.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\adam.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\AgentSvr.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\AppSvc32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\ArSwp.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\AST.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\autoruns.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\AvastU3.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\avconsol.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\avgrssvc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\AvMonitor.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\avp.com\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\avp.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\CCenter.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\ccSvcHst.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\EGHOST.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　 \Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\FTCleanerShell.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\FYFireWall.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\ghost.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\HijackThis.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\IceSword.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\iparmo.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Iparmor.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\irsetup.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\isPwdSvc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\kabaload.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KaScrScn.SCR\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KASMain.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KASTask.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAV32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAVDX.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAVPF.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAVPFW.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAVSetup.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KAVStart.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KISLnchr.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KMailMon.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KMFilter.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KPFW32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KPFW32X.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KPfwSvc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KRegEx.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KRepair.com\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KsLoader.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVCenter.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KvDetect.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KvfwMcl.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVMonXP.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVMonXP_1.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\kvol.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\kvolself.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KvReport.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVScan.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVSrvXP.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KVStub.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\kvupload.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\kvwsc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KvXP.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KvXP_1.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KWatch.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KWatch9x.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\KWatchX.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\loaddll.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\MicrosoftShared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\MagicSet.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\mcconsol.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\mmqczj.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\mmsk.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Navapsvc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\MicrosoftShared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Navapw32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\nod32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\nod32krn.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\nod32kui.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\NPFMntor.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\MicrosoftShared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\PFW.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\QHSET.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\QQDoctor.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\QQKav.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\QQSC.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Ras.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Rav.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RavMon.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RavMonD.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RavStub.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RavTask.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RegClean.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\rfwcfg.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\rfwmain.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\rfwsrv.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\RsAgent.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Rsaupd.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\rstrui.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\runiep.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\safelive.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\scan32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\shcfg32.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\SmartUp.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\SREng.EXE\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\symlcsvc.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\SysSafe.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\TrojanDetector.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\Trojanwall.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\TrojDie.kxp\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UIHost.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UmxAgent.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UmxAttachment.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UmxCfg.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
　　　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UmxFwHlp.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UmxPol.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\upiea.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\UpLive.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\USBCleaner.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\vsstat.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\webscanx.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\WoptiClean.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　 \CurrentVersion\Image File Execution Options\zjb.exe\
　　　　键值:Debugger
　　　　字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"

4、修改下列注册表项：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　　　\CurrentVersion\Windows\AppInit_DLLs
　　　　新字符串: "rarjbpi.dll"
　　　　旧字符串: ""

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　　　\Explorer\Advanced\Folder\SuperHidden\Type
　　　　新字符串: "checkbox2"
　　　　旧字符串: "checkbox"
　　　　
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
　　　　\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
　　　　\000000000001\PackedCatalogItem
　　　　新类型: 二进制值:%WINDIR%System32\qdshm.dll.dl
　　　　旧类型: 二进制值:%SystemRoot%\system32\mswsock.dl

　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
　　　　\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
　　　　\000000000004\PackedCatalogItem
　　　　新类型: 二进制值:%SystemRoot%\system32\mswsock.dl
　　　　旧类型: 二进制值:%SystemRoot%\system32\rsvpsp.dll

　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
　　　　\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
　　　　\000000000006\PackedCatalogItem
　　　　新类型: 二进制值:%SystemRoot%\system32\rsvpsp.dll
　　　　旧类型: 二进制值:%SystemRoot%\system32\mswsock.dl

5、删除的注册表项：

　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
　　　　\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
　　　　键值: @ 字符串: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
　　　　\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
　　　　键值: @ 字符串: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
　　　　\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
　　　　键值: @ 字符串: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
　　　　\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
　　　　键值: @ 字符串: "DiskDrive"
　　　　
网络行为：　　

连接网络下载病毒体：
　
　　　　www.54***.cn/xzz/0603.exe(220.166.64.***)
　　　　74.54***.cn /yx/11.exe(220.166.64.***)
　　　　74.54***.cn /yx/13.exe (220.166.64.***)
　　　　www.54***.cn/xzz/0603.exe (220.166.64.***)
　　　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　　　　　　　　　　　　　

清除方案：
	1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。　　 (1)使用安天免费安全工具ATool多选下列进程，结束：　　　 udchniv.exe 　　　 atthdop.exe 　　　 avwlcst.exe 　　　 kvdxscis.exe 　　　 kaqhfaz.exe 　　　 kvdxdis.exe 　　　 rsmyesp.exe 　　　 rarjbtl.exe 　　　 kvmxeis.exe 　　 (2)打开注册表编辑器，修改下列册表键值为旧值：　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 　　　 \WindowsNT\CurrentVersion\Windows\ 　　　 AppInit_DLLs 　　　 New: 字符串: "rarjbpi.dll" 　　　 Old: 字符串: "" 　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 　　　 \Windows\CurrentVersion\Explorer 　　　 \Advanced\Folder\SuperHidden\Type 　　　 New: 字符串: "checkbox2" 　　　 Old: 字符串: "checkbox" 　　 (3)使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll, 　　　卸载所有含有此病毒dll的进程。　　 (4)打开“文件夹选项”，打开隐藏文件选项如下列状态之后，　　　删除病毒文件或使用ATool直接删除病毒文件：　　　　　　 (5)删除病毒文件：　　　%Program Files%\meex.exe 　　　%Program Files%\Common Files\System\udchniv.exe 　　　%Program Files%\Common Files\System\hpbnijr.inf 　　　%Program Files%\Common Files\Microsoft Shared\atthdop.exe 　　　%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in 　　　%system32%\avwlcst.exe 　　　%system32%\avzxdst.exe 　　　%system32%\kaqhfaz.exe 　　　%system32%\kvdxdis.exe 　　　%system32%\kvdxscis.exe 　　　%system32%\kvmxeis.exe 　　　%system32%\rarjbtl.exe 　　　%system32%\rsmyesp.exe 　　　%system32%\addrgjhelp.dll 　　　%system32%\addrwdhelp.dll 　　　%system32%\addrz_thelp.dll 　　　%system32%\avwlcin.dll 　　　%system32%\avzxain.dll 　　　%system32%\kaqhfcs.dll 　　　%system32%\kvdxacf.dll 　　　%system32%\kvdxsacf.dll 　　　%system32%\kvmxecf.dll 　　　%system32%\qdshm.dll 　　　%system32%\rarjani.dll 　　　%system32%\rsmyafg.dll 　　(6)删除病毒添加注册表项，依据行为分析2、3项。　　(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files% 　　　\Internet Explorer\PLUGINS\WinSys8s.Sys 　　(8)复制下列文本，保存为.reg格式，双击导入，　　　以修复安全模式注册表键：　　　Windows Registry Editor Version 5.00 　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 　　　\Control\SafeBoot\Minimal 　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}] 　　　@="DiskDrive" 　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 　　　\Control\SafeBoot\Network 　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}] 　　　@="DiskDrive" 　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 　　　\Control\SafeBoot\Minimal 　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}] 　　　@="DiskDrive" 　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 　　　\Control\SafeBoot\Network 　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}] 　　　@="DiskDrive"
附：
	点击此处下载木马防线2005+ 病毒上报信箱: submit@virusview.net

[TOP]

- 英文网站　网站地图　诚聘精英　联系我们 -