幕:

=============转载时请您保存这行内容=================

样本是前2星期收到的,作者至今已更新了2次(据我所知),最近求助的人相当多,所以特地写了解决方案.

如果您看到的与下面的不符,或者遇到了其他问题.那么请打包样本发到Lyhan_1988@163.com(加密123)

也可以到我博客留言.我会及时更新.

Q526170722(无事勿加)

=============转载时请您保存这行内容=================
病毒行为:

  1、运行后，释放8位的随机字符（0-F）????????.dll。首先枚举进程，找到TIMPlatform.exe"和"Explorer.exe"然后插入进程，用常规方法无法发觉，因为进程里没有丝毫异常（不要相信自己的眼睛。。）。后用动态插入技术，插入所有试图运行的所有进程。

  2、为了保护自己，该病毒还破坏了“显示文件夹选项”的功能和安全模式，给查杀工作带来难度，因为这些病毒属性是隐藏的。

  3、最重要的一点，插进程的Dll（这个是重点）拦截信息，尝试关闭杀软和安全工具，当然，还包括类似关键字的网站。。

4、修改下面提到杀软的服务和驱动项目，设置为“禁用”，删除安全工具和杀软的RUN启动项

5、在每个分区C—Z（遍历）跟目录生成autorun.inf和8位的随机字符.exe

内容为：

[AutoRun]
open=8位的随机字符.exe
shellexecute=8位的随机字符.exe
shell\Auto\command=8位的随机字符.exe

以达到双击分区后病毒再生成的目的，当然，有类似移动盘的也遭殃。。。

===============================================

病毒分析：

释放：
C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll(43094 字节)
C:\Documents and Settings\"这里是你的用户名"\Local Settings\Temp\dl1.exe

C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dat(33366 字节)

%Systemroot%\Help\8位随机字符.chm(33366 字节)其实也是个病毒，假冒系统帮助文件

上面提到的3个主要文件，文件属性都是系统-只读-隐藏病毒

===============================================

修改内容：

%Systemroot%\System32\下先备份bsmain.exe到bsmain.bak，然后删除bsmain.exe（220807 字节）

%Systemroot%\System32\下先备份verclsid.exe到verclsid.exe.bak，然后删除。（21264 字节）

修改注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
HideFileExt  “0”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
ShowSuperHidden  ”1”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
SuperHidden  ”1”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
CheckedValue "0"

===============================================

删除内容(破坏安全模式，如果进入安全模式的话，就会蓝屏！):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
REG_SZ, "DiskDrive"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
REG_SZ, "DiskDrive"

==============================================

修改IFEO重定向:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.COM

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe

全部都是指向:C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dat(33366 字节)

插入进程的8位随机字符.dll遍历窗口句柄,尝试关闭(包括进程):
AntiVirus
Trojan
Firewall
Kaspersky
JiangMin
KV200
.kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associa
tes
TrustPort
Norton
Symantec
SYMANT~1
Norton SystemWor
ks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortine
anda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSaf
ewido
Prevx1
ersavg
Ikarus
Sopho
Sunbelt
PC-cill
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Norma
surfsecret
Bullguard
BlackICE
Armor2net
360safe
SkyNet
Micropoint
Iparmor
ftc
mmjk2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Mo
nitor
ProcessGuard
FengYun
Lavasoft
NOD3
mmsk
The Cleaner
Defendio
kis6
Behead
sreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecure
ProSecurity
Yahoo!
Google
baidu
P4P
Sogou PXP
yaskp.sys
BDGuard.sys
木马
KSysFilt.sys
KSysCall.sys
AVK K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZone
x0w2e3t6m9
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
shcfg32
mcconsol
HijackThis
mmqczj
Trojanwall
FTCleanerShell
loaddll
rfwProxy
KsLoader
KvfwMcl
autoruns
AppSvc32
ccSvcHst
isPwdSvc
symlcsvc
nod32ku
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
zxsweep
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com
KRepair.COM
KaScrScn.SCR
Program Files
system32notepa
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
.duba.
kingsoft
360safe
木马
木馬
瑞星
社区
KvNative
bsmain
aswBoot

=============================================

真抱歉,费话太多了,来看看解决方法吧:

注意！！在操作之前，先删除所有分区的autorun.inf和8位随机字符.exe和，不然可能不经意又中了。。

删除方法可以用Winrar或者资源管理器删除，也可以用DOS删除

（PS：http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/9f3fbf8fc73334fb503d9279.html，可以去参考下）

思路：所有的工作的都是由“8位随机字符.dll”完成的，所以只要干掉它，一切都可以恢复正常！

（小聪明：http://free.ys168.com/?gudugengkekao，在xdelbox|FileKill360 项里，有2个强制删除工具，如果可以打开的话，那么只要需要填入：C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll，不知道8位随机字符是什么？开始-运行-CMD-输入 dir /a  如果没有差错的话，你应该可以看到8位随机字符.exe，你只需要把8位随机字符.exe的那个8位随机字符做为8位随机字符.dll。能删除掉的话，那么就不用下面那么繁琐了，直接看修复方法！）

先修复安全模式：

可以用SREng修复，因为IS和SRE都是以随机命名启动的，所以病毒无法关闭它们。（首先要把SRENG改名，不然会重定向运行病毒，可以改名例如为：1.exe）

SREng—系统修复—高级修复—修复安全模式—确定，你也可以到我网盘来下载导入的注册表（自己没用过，如果有其他问题的话，请原谅我。。）在http://free.ys168.com/?gudugengkekao里—其他工具—置顶的！

修复后进安全模式，这时候病毒就不能启动了，那么我们可以随便删除，不过还是要显示所有隐藏文件。

也可以到我的网盘去下载！（自己找找吧，忘记放哪里了），导入后，显示所有隐藏的文件（不要说你不会哈）

然后删除：

C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll

C:\Documents and Settings\"这里是你的用户名"\Local Settings\Temp\dl1.exe

C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dat

%Systemroot%\Help\8位随机字符.chm

每个分区（C—F）下的autorun.inf和8位随机字符.exe

我网盘有几个比较好用的删除工具，可以随便下载，呵呵

PS：条件允许的话，可以找个安装盘，利用类似的DOS工具，到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下查找名字为：8位随机字符.dll的，然后执行：

Del C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll /f/s/q/a

嘿嘿，然后进入系统，所有安全工具都可以运行了，那么就可以用杀软杀了或者到社区来求助！（这时候被屏蔽的杀软网站可以打开）。

那么第2步是修复IFEO劫持，（先不要急着打开杀软，不然又要重新再来了！）去下载个auroruns，我网盘也有，然后删除IFEO劫持项目。一大堆乱乱的东西，全部都删除咯。

注意!autoruns也要改名运行!!不然又要重来,名字可以随便取

（AD：IFEO？看拙作，乱写的：）  http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/a0c0edcecb5ccb0292457eba.html）

然后修复杀软的启动方法（比较繁琐，如果可以的话，重装杀软可能会来的更快）

修复方法是用SREng

SRENG操作方法:
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/9025a818a7592ab44aedbc05.html

设置为“auto strat"

好了，差不多就是这些了，其实清楚方法有很多，例如用冰刃（也是随机命名启动的，不会被禁）删除，不过IS。。。功能太过于霸道，就不详细说了..

引用:

【爱陌能住的贴子】看不懂啊.高手, 有新手能看懂的吗?? ………………

你想知道什么

前天有收到个``

猫叔也写了分析了```比较简明``

我自己也写了个,懒得发````

详细的来

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html

这里看```

看不懂?````

用GHOST还原后``什么也不要做,也不要双击进入任何分区(C-F盘)

在DOS下删除每个分区的autorun.inf和一个8位数字的EXE文件```

(开始-运行-CMD

cd D:\

del D:\autorun.inf /s /a /f /q

D再换成其他盘就可以了````)

也可以用winrar删除```

记得先显示隐藏文件````

找不到么?

在DOS输入

D:

dir /a

就可以看到了````

引用:

【newcenturymoon的贴子】能否把样本发给我呢 谢谢 另外加你QQ了 能否向你请教几个问题 谢谢 ………………

样本发过去了,没收到么?

通信工具现在不上,对不起``

引用:

【救命啊救命啊的贴子】我输入CMD后，D：\attrib -s -h -r 后发现了类似的auto、8位.exe，然后我DEL .了，删完后，其它盘一致照做了，都删完了，然后该怎么办啊？ ………………

所有盘都检查一下`````

再到

C:\Program Files\Common Files\Microsoft Shared\MSINFO\下检查下有没有 8位随机字符.dll和一个dat文件```

在C:\help\下也有一个````chm格式的好像```

不要漏了````

另回复天月:没办法```简单的说不出来````只能平时有点基础知识了```