瑞星卡卡安全论坛

病毒文件：url_sexbox.exe
MD5值：9217104a2054603ef1278e676d1ac305


此毒运行后：
1、释放/下载很多病毒文件到系统中，病毒文件的类型有：.tmp、.exe、.dll、.sys、.dat、.fon、.ttf。
2、替换system32目录下的系统文件appmgmts.dll和comres.dll。
3、多个病毒模块（.dll、.fon、.ttf）插入系统核心进程以及所有应用程序进程。
4、添加IFEO劫持项，使多种杀软/防火墙失效。
5、感染硬盘各个分区的可执行文件.exe和.htm文件文件。


此毒插入进程较多，进程难以清理且系统核心进程（如winlogon.exe等）不能结束，否则系统崩溃重启。

NTFS系统的查杀方法：

0、断开网络。

1、根据中毒日期，分别搜索.tmp、.exe、.dll、.sys、.dat、.fon、.ttf等病毒文件。利用NTFS权限封死病毒文件（只允许删除，其它一律禁止）。
图1－图2仅显示病毒文件.exe的处理。.tmp、.dll、.sys.fon、.ttf病毒文件的处理与此相同。






DAT类病毒文件只有一个SGCQDLL.DAT。不用费劲搜索。直接到system32目录下找到它，封死！




2、强制删除病毒驱动。
图3－图4





3、强制删除被病毒替换的.dll

图5－图6








4、注销当前中毒的用户，再次登陆。从dllcache目录下或同类操作系统的其他正常电脑中拷贝appmgmts.dll和comres.dll文件到中毒电脑的system32目录下。

5、利用NTFS权限封死drivers目录（只允许删除，其它一律禁止）。
图7




6、双击运行被感染的病毒文件。
图8

被感染文件恢复正常。
图9－图10




此时双击运行被感染的.exe，不用担心病毒复发。断网状态下运行被此毒感染的.exe程序，在drivers目录释放病毒程序TXP1atform.exe，被感染程序恢复正常。而在第5步操作中，drivers目录已被NTFS封死（只允许删除文件）。


重复第6步。一一点击运行被感染的.exe。搞掂所有被感染的.exe后，再全部放开drivers目录的权限。





剩下的就是一一删除病毒文件及其添加的注册表项（不再一一赘述）。




用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

附上中毒后SRENG日志的驱动及进程部分，供参考。

附件: 正在运行的进程.rar

drivers目录已被NTFS封死（只允许删除文件）。

你不允许读取了？？？不影响系统？？？

搞掂后，再全部放开drivers目录的权限。

你可以这么搞

别人你知道会怎么搞么？？？

会没取消限制，就重启电脑去了:kaka6:

对了，忘记问了

感染硬盘各个分区的可执行文件.exe和.htm文件文件。


是指全部磁盘，还是其他分区:kaka2:

全部分区

那言下之意，只有Windows文件夹内的程序没被感染了？

是的:kaka16:

除了windows及其子目录中的.exe，其余部位的.exe皆被此毒感染（包括我保留的那个C:\I386目录）。

那所有的可执行文件都要双吉一遍么？

不用全部可执行文件都点一遍吧，要是这样，点到我老了都点不完:kaka12: ，可不可以用瑞星清理感染的文件:kaka2: 。

该用户帖子内容已被屏蔽

中了这个病毒的人会好惨的来求助哦。:kaka6:
估计手工查杀也需要几个小时呢~~

我做的JSP网页也被感染了，一打开就卡死浏览器。马上要交作业了，真是......重装系统是不是会好？还有硬盘里的文件被感染的太多，也分不清是有没有毒，是不是只剩格式化硬盘这一种方法了？:kaka4:

我的WORD 文档放U盘里怎么也全变成木马了，瑞星给删了，是楼主说的情况不？？

不是
看天月的顶置帖
U盘异常的那个

中此毒的一个特征是： windows目录下有个病毒文件uninstc.exe（无图标）

汗………………:kaka20:

:default11: 我也中了这个病毒
这样能处理镜像劫持了不
SREng扫描镜像劫持一直在
用映像劫持清除管理以及修复工具也不行
我的瑞星小伞一直看不到了
但进程里瑞星是开的

你好，我按照你所说方法试了试，结果没有成功，不知道原因出在哪里

1.我刚开始中了这个毒，确实windows目录下有个病毒文件uninstc.exe（无图标），但是我重装以后就再也没有出现过

2.将.tmp、.exe、.dll、.sys、.dat、.fon、.ttf等文件禁止（仅允许删除）后，在第四步中如果“注销当前中毒的用户，再次登陆”，就没有办法登陆了，所以我按照自己的理解，把之前禁止的那些又都恢复了，不知道这一步是不是又问题


3.强制删除病毒驱动的klan.sys和pcidump.sys没有找到


4.“双击运行被感染的.exe”，我不知道是怎么找到这些exe文件的，我是直接搜索.exe进行双击的，但双击后没有改变


5.“删除病毒文件及其添加的注册表项”，我是用windows清理助手删除的，不知道能不能这样




但最后的结果是没有成功……在用windows清理助手查，仍然有20多个毒（但windows目录下的uninstc.exe却在也没有出现）




另外，还出现了一些别的情况，如一再的自动解压缩电脑内的压缩文件




实在是没有办法啊~请各位大虾帮帮忙~~谢谢

这是此毒刚出现时写的手工查杀。操作比较麻烦。
现在，瑞星已经能杀此毒。

谢谢，我下载了瑞星，但是启动不了

找一台安装瑞星的干净电脑，升级病毒库。
按下图所示制作linux引导杀毒光盘。


用此光盘启动你那中毒的电脑。在linux环境下杀。

下载EasyDelete1.1.90，解压出来运行后，再看能否运行你的所有杀毒软件。
附件:EasyDelete1.1.90.rar（右键选择“目标另存为”下载）

用linux引导杀毒，病毒库是09-6-25的，没有杀出任何毒来……为什么

那就可能是其他病毒，或者针对瑞星做了免杀处理的病毒

建议用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

是这样吗？

附件: SREngLOG.log

对这个东东，天月的口气好像自己已有了更好的解决办法，猫叔先不要讲，听天月来把他的办法给大家讲讲不好吗？
天月……

因为此毒感染硬盘各个分区的可执行文件.exe和.htm文件文件。

所以你必须要做到处理前尽量保证其他盘任何程序或文件不会开机自启动

然后断网进行下面操作，必须断网

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动“xpsp3.exe”程序后，点击“开始替换”，提示重启电脑时，暂时不重启

附件: XPSP3.rar (2009-6-26 14:29:52, 223.82 K)
该附件被下载次数 272

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）
删除：
C:\WINDOWS\system32\drivers\TXP1atform.exe
C:\WINDOWS\MPKrnl.dll
C:\WINDOWS\MKMKrnl.dll
C:\WINDOWS\system32\qt-dx3.dll
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\ZfbJ9AWwU.dll
C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll
C:\WINDOWS\fonts\KstDJRRwuGyQjsT7.fon
C:\WINDOWS\system32\JGxmCj7bYHHbwtxt.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\DcXb7abe.dll
C:\WINDOWS\system32\t44y9a553NQ.dll
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\system32\hhnt2pBK.dll
C:\WINDOWS\fonts\bVmwwaC9wK.fon
C:\WINDOWS\fonts\ynysgR5mC.fon
C:\WINDOWS\fonts\tY5UFS434YYd.fon
C:\WINDOWS\system32\VnTU2WAqUcZA6.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\fonts\A97CRaCB.fon
C:\WINDOWS\system32\704C3595.dll
C:\WINDOWS\system32\Va7SpUWgCA5f.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\fonts\nMGKbjzrcYBeMU4E.fon
C:\WINDOWS\system32\skcfujQ5EDN.dll
C:\WINDOWS\system32\eThZrkpVeaM3wcX.dll
C:\WINDOWS\fonts\vgUGf6VF2E.fon
C:\WINDOWS\system32\RV2MbKrHA.dll
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\fonts\uXUsF2RrQy.fon
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\A1A6BC2E.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\MqppW9KYn.fon
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp

不论删除结果如何立即重启电脑，看情况如何。

重启电脑后进系统内绝不打开任何磁盘，绝不使用其他盘任何文件

然后去下载免费30天的全功能瑞星杀毒软件，安装后升级最新版本全盘杀毒
http://all.rising.com.cn/download/transfer.asp?ver=COMFREE

又因为你说什么都没杀出来

你可能需要考虑处理前，先这样做

用解压工具WinRAR依路径打开，找C:\WINDOWS\system32\drivers\TXP1atform.exe文件压缩发来，看是否已经针对瑞星做了免杀处理

以及将其他盘文件量小于3M的.exe文件多找几个，也压缩后，一个一个以附件形式发来

看其感染是否也针对瑞星做了免杀处理

因为这两部分一旦做了免杀处理，就得等瑞星加库才能杀了