SREng日志所见异常项:

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <InternetEx><C:\windows\system\1.exe>  [N/A]
    <wsvs><C:\windows\wsvs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <mppds><C:\windows\mppds.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <wsttrs><C:\windows\wsttrs.exe>  [N/A]
    <Internet><C:\windows\system\svchost.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <internet><C:\windows\system\taskmgr.exe /scan>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><684745M.BMP>  [N/A]

==================================
浏览器加载项

[Flash 7]
  {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} <C:\WINDOWS\system\IceHBO.dll, N/A>

==================================
被病毒插入的进程

[PID: 1388][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1860][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 1852][C:\Program Files\Rising\Rav\Ravmon.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2156][C:\Program Files\Opera\Opera.exe]  [Opera Software, 7561]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2972][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2848][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2556][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 532][C:\SREng\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]

病毒进程：
[PID: 616][C:\windows\system\internat.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3880][C:\windows\system\1.exe]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 2220][C:\windows\system\svchost.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]
[PID: 3288][C:\windows\system\taskmgr.exe]  [N/A, N/A]
    [C:\windows\684745M.BMP]  [N/A, N/A]
    [C:\windows\system\C.dll]  [N/A, N/A]


==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
[D:\]
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

结束病毒进程后，需要删除的病毒文件（见附图）。
至于被病毒感染的.exe文件，请用杀软清除其中的病毒代码。瑞星19.09.42已可查杀此毒。

我的实战结果显示：用SSM，可以制服这个蠕虫（不会发生“再次感染”）。即使那些被感染的.exe一时无法处理（须等待杀软升级处理），只要将SSM设置妥当，且用SSM将病毒的.exe程序归入bolcked组，那些被此毒感染过的.exe就运行不了。

引用:

【奇迹天下的贴子】现在的病毒都老喜欢在每个盘符加AUTORUN，还是关闭自动播放功能的比较好 ………………

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

将上述内容保存为kill_auto.reg
双击kill_auto.reg，将其导入注册表。就永远清静了。

引用:

【UFO不幸外人的贴子】 楼主只是测试一个样本而已  每一个样本对下载病毒有所不同，所以你可能没有处理干净 ………………

处理这个病毒的要点是：
1、用HIPS（SSM之类）禁掉那些病毒进程；
2、用IceSwod剥离插入正常进程的病毒模块。
即使杀软一时灭不掉这个病毒，用SSM完全可以搞掂它。

引用:

【奇迹天下的贴子】 弱弱的问声，那SSM很贵的，老大用的是D版还是免费的那个？ ………………

SSM的收费版————不存在盗版问题。
它自己的试用期监控方式有漏洞。我并未盗版。

引用:

【鸟儿天上飞的贴子】使用方法很简单，打开SSM，然后点右上角的那个“注册”，然后把下面这个文本字符完整贴进去便可：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版前可以用...转贴  出处就不说了 ………………

我不上这个“当”。
一旦这样搞了，你就别想用SSM 2.4以及更新的版本了。

引用:

【鸟儿天上飞的贴子】奇怪啊大叔 这个 <AppInit_DLLs><684745M.BMP> [N/A] 不插入系统进程吗??  用IFEO能挡住不...想问这个很久了 你终于有样本了 ………………

1、684745M.BMP插入染毒后运行的所有程序的进程。
2、IFEO重定向不能阻截684745M.BMP。

引用:

【奇迹天下的贴子】问一句，为什么BMP文件也能让电脑异常么？ 能不能发我个样本学习下？ walkingmu@gmail.com ………………

这个.BMP并非通常意义上的“位元图”，尽管它的扩展名是.BMP。

引用:

【mopery的贴子】 当初也这么想.. 但是SSM 出新版的话.. 好象这个 还是可以使用.. ………………

SSM 2.4前天就出来了。你可以试试。

引用:

【spiritfire的贴子】猫叔，不知这图变不变EXE文件的图标啊？ ………………

被感染的.exe文件，其logo不变，但从外观看，与原来的还是有区别（更像被显示的“隐藏文件”的logo）。

引用:

【翹翹鈑oоО的贴子】 引用: 【baohe的贴子】 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff 将上述内容保存为kill_auto.reg 双击kill_auto.reg，将其导入注册表。就永远清静了。 ……………… ………………

按照上面叙述的操作步骤去做，就有了。不劳你去用注册表编辑器。

这个是什么意思?我展开注册表找到NoDriveTypeAutoRun,没有找到"dword"我怎么修改啊?