【回复“小泉烧香”的帖子】
1、用IceSword禁止进程创建；删除下列启动、服务、驱动项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Domino><; C:\WINDOWS\Domino.EXE> [N/A]
<upxdnd><; C:\DOCUME~1\ym\LOCALS~1\Temp\upxdnd.exe> [N/A]
<wxClient><; C:\WINDOWS\system32\Clsmn.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<internet><C:\WINDOWS\system\taskmgr.exe /scan> [N/A]
驱动程序
[EagleNT / EagleNT][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\EagleNT.sys><N/A>
[genfs / genfs][Running/Boot Start]
<31 - 连到系统上的设备没有发挥作用。
><N/A>
驱动程序
[oreans32 / oreans32][Stopped/System Start]
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
[Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
2、用IceSword删除上述各项指向的文件。删除D、E根目录下的setup.exe和autorun.inf。
3、修复hosts文件；修复文件关联。


____________
以下是不明启动项（请自己确认是否正常）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
<WinlogonNotify: crypt32chain><crypt32.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
<WinlogonNotify: cryptnet><cryptnet.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
<WinlogonNotify: cscdll><cscdll.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
<WinlogonNotify: ScCertProp><wlnotify.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
<WinlogonNotify: Schedule><wlnotify.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
<WinlogonNotify: sclgntfy><sclgntfy.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
<WinlogonNotify: SensLogn><WlNotify.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
<WinlogonNotify: termsrv><wlnotify.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
<WinlogonNotify: wlballoon><wlnotify.dll> [(Verified)Microsoft Corporation]

看来楼主的问题很有震撼力，两个斑竹都来给你回复了，我的问题都没人给我去看看，哇……………………………………

病毒
<Domino><; C:\WINDOWS\Domino.EXE> [N/A]
<DU Meter><; C:\Program Files\DU Meter\DUMeter.exe> [N/A]

标题比较诱人

猫叔 太谢谢了...我这就联系他们去试试

mopery大哥 我现在把病毒样本发给你...

猫叔 你要么??

..

C:\DOCUME~1\ym\LOCALS~1\Temp\upxdnd.exe

还有那个D盘E盘 根目录下 setup.exe 一起加密码123 压缩
发到zhz010266@njude.com.cn

另外此蠕虫可确定为王云禾的杰作

Autorun.inf
[D:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
[E:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
超级问题
可能是金猪
遗留

嗯 是挺麻烦的
金猪 中过,不过被一个比较2的"技术网管"弄了一下,现在是好了,
可是还是有很多不稳定因素,
CMD的进程也见过
ggg.exe的进程也见过
有时候开网页会出现某某网站的恶意连接,至今没有弄好,
mopery大哥要的样本我也发过去了，没有回信..

引用:

【小泉烧香的贴子】嗯 是挺麻烦的 金猪 中过,不过被一个比较2的"技术网管"弄了一下,现在是好了, 可是还是有很多不稳定因素, CMD的进程也见过 ggg.exe的进程也见过 有时候开网页会出现某某网站的恶意连接,至今没有弄好, mopery大哥要的样本我也发过去了，没有回信.. ………………

我已经回复..

样本有点问题 最好多来几个..

如网警 所说可能是 王云禾 的作品..

另外. 可能是 HnCSBoy 的作品 死神之吻..

样本无法运行无法确认..