瑞星卡卡安全论坛

发现一个令瑞星瘫痪的病毒HBYP.PIF、AUTORUN.inf 发现一个令瑞星所有产品都瘫痪的病毒“HBYP.PIF、AUTORUN.inf”并且电脑变得很慢。 请瑞星公司将解决办法发给我, 电子邮箱:piaots@126.com 谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

下载SREng
下载之后解压缩，运行SREngLdr.EXE；（如果不能运行，可以尝试改名为123.com）
点击“智能扫描”，勾选所有扫描项，勾选“检查进程模块的数字签名”；
然后点击“扫描”；
等待扫描完成，点击“保存报告”；
将保存的日志文件SREnglog.log作为附件上传到论坛；
连同你说的病毒文件，最好一同发上来

日期变为2004年  各盘根目录产生两个文件

附件: bd.rar

附件: SREngLOG.log

HGZP.PIF
发上来看看


我先喝口水
解决方法马上上传:default5:

http://bbs.ikaka.com/showtopic-8417665.aspx
3楼的附件里的userinit.exe
替换本机
的
C:\WINDOWS\system32\userinit.exe文件

替换后

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。


c:\windows\fonts\svchost.exe
c:\windows\system32\350safe.exe
c:\windows\system32\winlib .dll
c:\windows\system32\drivers\acpidisk.sys
C:\HGZP.PIF
D:\HGZP.PIF
E:\HGZP.PIF
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>

附件清空映像劫持项

附件: 映像劫持修复工具.rar

在文件bd.rar  里  请多多费心

刚刚找了个工程师
样本工程师已收:default6:

大概就看到这么多，连350safe.exe都出来了，汗……
=================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internetnet><C:\WINDOWS\system32\spoolsv.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []（系统文件被替换了）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE]
    <IFEO[360rpt.EXE]><C:\WINDOWS\system32\dllcache\spoolsv.exe>  []
…………………………（省略一堆IFEO项）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE]
    <IFEO[WOPTILITIES.EXE]><C:\WINDOWS\system32\dllcache\spoolsv.exe>  []
==================================
服务（可能该系统服务映像文件和注册表项已被病毒替换掉）
[Print Spooler / Spooler][Stopped/Auto Start]
  <C:\WINDOWS\system32\spoolsv.exe><Microsoft Corporation>
==================================
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[MyDog / MyDog][Running/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\Atieccx.sys><N/A>
==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Wisb\pbhealth.dll, Polls>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\Wisb\pbhealth.dll, Polls>
==================================
正在运行的进程
[C:\WINDOWS\system32\winlib .dll]  [N/A, ]
[PID: 1488 / Administrator][C:\WINDOWS\system32\350safe.exe]  [N/A, ]
[PID: 876 / Administrator][C:\WINDOWS\Fonts\svchost.exe]  [N/A, ]
==================================
Autorun.inf
[C:\]
[AutoRun] shell\open=打开(&O) shell\open\Command=HGZP.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=HGZP.PIF
[D:\]
[AutoRun] shell\open=打开(&O) shell\open\Command=HGZP.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=HGZP.PIF
[E:\]
[AutoRun] shell\open=打开(&O) shell\open\Command=HGZP.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=HGZP.PIF
==================================
进程特权扫描
特殊特权被允许： SeDebugPrivilege [PID = 1944, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1944, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 1488, C:\WINDOWS\SYSTEM32\350SAFE.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1488, C:\WINDOWS\SYSTEM32\350SAFE.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 876, C:\WINDOWS\FONTS\SVCHOST.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 876, C:\WINDOWS\FONTS\SVCHOST.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 1860, C:\WINDOWS\DOWNLOADED PROGRAM FILES\SVCHOST.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1860, C:\WINDOWS\DOWNLOADED PROGRAM FILES\SVCHOST.EXE]
==================================

师父
    <internetnet><C:\WINDOWS\system32\spoolsv.exe>  [Microsoft Corporation]这个怎么处理？

看下这个帖子：http://bbs.newhua.com/redirect.php?fid=113&tid=68400&goto=nextoldset

打印机一般不会在那个注册表项下创建自启动项的，它已经有服务维持开机自启动了，因此个人判定为病毒启动项，由于映像文件是系统文件，结合IFEO项一起分析，怀疑系统文件c:\windows\system32\spoolsv.exe及C:\WINDOWS\system32\dllcahe\spoolsv.exe两个系统文件都挂了。

有同感
spoolsv.exe
Explorer分支下
启动项确实一般很可疑的

建议楼主吧spoolsv.exe
发上来瞧瞧？

HBYP.PIF、AUTORUN.inf
磁碟机或trojan.worm.win32.killAV或有旺财

建议先用恶意软件清理助手清除部分病毒，再安装360安全卫士，并且下载360顽固木马专杀大全进行删除木马。安装360的时候记得不要跳过安装，因为安装的过程中可以清除部分木马。清理完毕后再用无毒的spoolsv.exe和rpcss.exe覆盖原文件。基本上就可以是计算机恢复正常！