手工杀3448病毒—11月22日更新了修改标题栏工具



1.下载我提供的工具包，可以解压缩到任意的文件夹下

附件: 3448.rar
  下载地址 http://free.ys168.com/?j7700074
2.先运行压缩包里的IEXPLORE.EXE软件或rundll32.exe软件，哪个好用就用哪个，影响计算机的速度，用一个就行，不用都用，目前推荐使用IEXPLORE.EXE，在运行之后保持最小化就行了，在重新启动计算机之前千万别把它给关闭了

3.运行FolderView文件夹下的explorer.exe软件，界面如下：图中画红圈的就是病毒，这里能检测出2个
一个是\windows\system32\t4fq.dll；另一个是\windows\system32\drivers\1cnu.sys，这2个文件的名字是随机变化的，在你们的机器上有可能不是这个名字，其实只要注意看后面的Rundll32（大写），目前有Rundll32的就肯定是病毒了，但也不排除新变种改名的可能性，但这2个名字还是比较直观，容易判断的！

4.运行FolderView文件夹里的IEXPLORE.EXE软件，用来删除病毒
首先删除t4fq.dll，提示是否重新启动电脑的时候先不要重起
再删除1cnu.sys








5.因为该病毒关联了QQ的TIMProxy.dll文件，所以得手工删除QQ文件夹下的TIMProxy.dll文件，如果对操作没有把握，推荐用控制面板的添加删除程序来卸载QQ，一样可以达到目的

6.重新启动计算机

7.把IE的首页改成空白页

8.手工修复被病毒破坏的Hosts文件，也可以用工具包里的hosts覆盖%systemroot%\system32\drivers\etc\下的同名文件

9.修复安全模式，用工具包里的注册表文件，其中safeboot_winxp用.reg是给Windows XP用的，safeboot_win2000用.reg是给Windows 2000用的，导入到注册表中



目前瑞星的卡卡3.0也可以查杀该病毒，但由于该病毒随时可能更新，根据卡卡标题栏的名字可以使计算机关闭。而使用我工具包里工具可以把标题栏随机修改成任意的字符.


老方法------------------------------------------

1.把我提供的修复文件导入到注册表中
2.重起电脑进入安全模式
3.运行msconfig，图中圈上的那2个就是病毒，把前面的“√”去掉使其不能运行，点确定，先别着急重起电脑！！
4.删除QQ的文件夹（因为这个病毒关联了QQ，一运行QQ还会感染！！），一般QQ的安装位置是在C:\Program Files\Tencent\下，一定要彻底的完全删除这个文件夹（是文件夹！！），而不是简单的通过添加删除程序来卸载QQ！！！
5.把IE的首页设成空白页
6.修复hosts文件，提供了一个已修复好的hosts文件，有需要的自行下载，并覆盖于%systemroot%\system32\drivers\etc\的同名文件，hosts文件在http://bbs.360safe.com/attachment.php?aid=4580下载
7.重新启动电脑回到正常模式

卡巴斯基把3448病毒和变种分别定义为Trojan.Win32.Agent.abm和Trojan.Win32.BCB.k，截至到2006-11-20 6:42:44的病毒库已经可以查杀！


另类方法--------------------------------------

偶然发现这个病毒的大小都是41.8 KB的，嘿嘿……

首先去下载一个upfle，地址：http://www.520code.com/soft/softdown.asp?softid=76621

1.点“指定大小范围”，输入范围大小从41到41
2.在全部或部分文件名：里先输入*.dll

点“开始寻找”

大小为41.87的基本上都是病毒，找到后在它上面鼠标右键——删除（如不能删除，请重命名，比如把xxxx.dll改成xxxx.dll123）

3.同第2步，再查找*.sys文件，找到后删除（或重命名）

4.重新启动电脑

5.把IE的首页改成空白

6.修复hosts文件

原始方法-----------------------------------------------------------


今天运行了一个号称能绕过wga的软件，不想却遭遇到了3448病毒。表现为IE首页被篡改成www.3448.com（请勿访问）、运行360安全卫士自动关机、进入安全模式重启电脑、hosts文件被恶意修改……

对策：
1.安装瑞星卡卡助手，没用。
2.把360安全卫士的目录名和文件名修改后，可以运行软件了，可以发现3448恶意软件和插件，但反复清除都不彻底。
3.下载filemon，仍然需要改名才能运行，否则关机，经过过滤，发现正在运行进程只有explorer.exe一个，但在大量的调用rundll32.exe、hs3e.exe和realplayer.exe，经查看，系统里并不存在realplayer.exe这个文件。
4.运行Windows优化大师的《Windows进程管理》（土了点，习惯了），查看rundll32.exe进程的模块信息，发现了一个可疑的家伙t4fqx.dll，另外还有一个是X:\WINDOWS\system32\drivers\nmprt.sys

5.找到这2个文件并修改文件名
6.重起电脑，进入桌面时提示没找到上述2个文件，再运行msconfig发现多了点内容，以前是看不到的！！

7.IE首页已自动变成了空白页，运行360安全卫士没提示发现恶意软件及插件。手工再修改一下hosts文件就行了。

那几个文件是用北斗加过壳的，有时间脱下去逆向研究一下，看看还有没有遗漏。

在此真诚问候一下3448网站所有工作人员和全家，害我午饭晚吃了半个小时。

传说中的分割线------------------------------------------
2006-11-16 16：25：00 补充
下午发现在使用QQ后，病毒又回来了
使用peid的Multi Scan扫描X:\Program Files\Tencent\QQ文件夹，又发现了一个病毒，9gr2.dll，删之！世界暂时清静了

peid下载地址：
http://www.pediy.com/tools/unpack/File_analysers/peid/peid.rar


我现在开着HostMonitor密切监视system32\t4fqx.dll文件的变化，每秒报告1次！有了新发现会随时更新本blog



病毒已成功脱壳了，连接QQ似乎靠的是TIMProxy.dll，正在研究。

如果有遭受新变种的，请提供您是如何中招的，我这有很多已做过快照的虚拟机，随时帮您分析！

提供了一个已修复好的hosts文件，有需要的自行下载，并覆盖于%systemroot%\system32\drivers\etc\的同名文件

再提供一个Windows优化大师的进程管理器

附件: hosts.rar
附件: [进程管理器] WinProcess.rar


相关文章：

瑞星卡卡3.0雷霆出击　用反病毒技术铲除流氓软件

十大杀毒软件横评之检阅篇(上)

十大杀毒软件横评之检阅篇(下)

CNNIC即将不耍流氓

6款查杀流氓软件工具比较测试

流氓软件专杀

FlashGet的BT下载功能热力评测

清除 7939.com,7b.com.cn,9505.com,4199.com 这四个流氓

清除MY123 (重点补遗)

另人厌恶的十大流氓软件完全卸载方案(更新至十三)

关于http://www.123wa.com/的查杀办法

删除3721和CNNIC顽固文件的办法

软件协会称恶意软件“违法” 入侵似私闯民宅

永远不怕IE主页被修改（网友代测试）

判断系统是否被流氓侵犯

CCTV对反流氓软件的报道（更新至11月10日）

网上盛传的流氓插件名录（欢迎补充）

my123.com改首页流氓大面积爆发紧急解决方案发布

7b.com.cn恶意更改ie解决办法

3448 专杀工具/首页被设置成3448解决办法

处理www.4199.com恶意网址



来自:http://blog.sina.com.cn/u/40908094010005m8

【回复“zhongkangltd”的帖子】
你发个新贴

请下载SREng2（最新版） ，使用“智能扫描”，按下“扫描”按钮进行扫描，
扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完，分次粘完，请不要修改。

下载地址
http://www.kztechs.com/sreng/sreng2.zip