1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
关闭QQ等应用程序。 进入如下的操作前，请不要进行任何双击磁盘的操作。
所有的工具都放桌面上，切记。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭 [ 有找不到提示的请忽略 ]
C:\Autorun.inf
C:\SuperDown.EXE
d:\Autorun.inf
d:\SuperDown.EXE
e:\Autorun.inf
e:\SuperDown.EXE
C:\WINDOWS\System32\ShellDown.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQshow.exe
C:\Program Files\Common Files\System\Updaterun.exe
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\Program Files\Common Files\Microsoft Shared\MSInfo\IEINFO5.sys
C:\WINDOWS\system32\svchusts.exe
C:\WINDOWS\SYSTEM32\WBEM\FYGWA.DLL
C:\WINDOWS\System32\rjkxi.dll

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
启动项目 -->注册表 的如下项
<ShellDown.exe><C:\WINDOWS\System32\ShellDown.exe> [N/A]
<RavUptepys><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQshow.exe> [N/A]
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> [N/A]
<{5D06580A-08EB-4DD0-8425-DDBB5198B30C}><C:\Program Files\Common Files\Microsoft Shared\MSInfo\IEINFO5.sys> [N/A]

==================================
启动项目 -->服务-->Win32服务应用程序下的如下项目
[svchost.exe / svchost.exe][Stopped/Auto Start]
<C:\WINDOWS\system32\svchusts.exe><N/A>
[Internet Protect Service / SHipING][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\SYSTEM32\WBEM\FYGWA.DLL,Export 1087><Microsoft Corporation>
[Network Engine / Patterns][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\rjkxi.dll><Microsoft Corporation>

最后，WINDOWS清理助手清理 参考

本篇日志是从求助SREng日志整理出来的，主要表现是弹出广告，在收到邮件后，发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致，看来也只是一个毫无新意的升级版
病毒文件及文件夹

%windir%\winamps.exe
%windir%\realupdate.exe
%windir%\POPNTS.DLL
%windir%\ScNotify.dll
%system%\{pchome}\.setupf\

添加注册表启动项
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
updatereal %windir%\realupdate.exe other
winsamps %windir%\winamps.exe

冒充微软信息的启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify]
ScCardLogn %windir%\ScNotify.dll

添加一个BHO

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
[HKEY_CLASSES_ROOT\CLSID]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL

解决办法：
1、停止winamps.exe、realupdate.exe的进程
2、删除添加的所有注册表信息
3、重启后删除、或者使用Unlocker删除所有的病毒文件
PS：
1、由于病毒变种，可能实际情况与本文描述不同，但清除方法是一定的
2、由于其具备download马特征，除此之外，可能伴随着其他病毒或流氓软件

江民对该病毒的定义名为：trojanspy.agent.rw
释放文件
%system%\drivers\svchost.exe
%system%\drivers\msnet.sys
%system%\jet300.dll
添加注册表信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
msnet %system%\drivers\msnet.sys
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
svchost %system%\drivers\svchost.exe
主要特征
jet300.dll插入到系统进程svchost.exe
创建了服务svchost
创建了驱动msnet
可能下载并安装其他病毒木马
解决办法：
1、为避免将系统正常进程svchost.exe误终止，建议先停止并删除服务
2、删除其添加的所有注册表信息（服务和驱动信息）
3、重新启动后，删除其释放的所有病毒文件
4、对于删除不动的，可以采用Unlocker来进行

测试平台：WINDOWS SERVER 2K3 ENTERPRISE EDITION
由于在实机运行，为防不测，先作了个备份，把EXPLORER.EXE,USERINIT.EXE,SVCHOST.EXE等等的一些关键文件都备份了下（后面证明偶是对滴）
先扫描份日志，以作对比
切换组策略软件限制文件，将限制去除，防止病毒安装不完全
运行病毒，眼睁睁的看着它下载了好些东东
然后看着稳定了，重启计算机
启起来后等了半天，只有个壁纸，启动起任务管理器来，EXPLORER在里面，结束，再启动EXPLORER，没反应，且用任务管理器启动大部分软件都没反应。无奈之下启动了CMD，有反应了，接着用CMD启动WSYSCHECK和SRENG，扫描日志后发现有大量DLL注入进程。
重启，进PE（偶的杀手锏），利用wangsea大大的scanvirus，扫描，删除病毒的启动项和劫持项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <WinSysM><C:\WINDOWS\914847M.exe>  [N/A]
    <SHAProc><C:\WINDOWS\SHAProc.exe>  []
    <fmsbbqi><C:\WINDOWS\fmsbbqi.exe>  []
    <wqveobqr><C:\WINDOWS\qebrilpz.exe>  []
    <WINSvr32><C:\WINDOWS\WINSvr32.exE>  []
    <TSShell><C:\WINDOWS\PTSShell.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{228DF602-9541-A985-210A-984A698C6F22}><C:\WINDOWS\system32\ptjhbhlp.dll>  []
    <{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}><C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys>  [N/A]
    <{1629FF4F-ACDB-5C90-A098-FACB3456A261}><C:\WINDOWS\system32\mpmyaapi.dll>  []
    <{6ce08af1-5f70-4c1a-8d1a-8aba11619e87}><ayFKKFKK1055.dll>  []
IFEO就不写了，在日志里的都是
这家伙的驱动真不少，temp文件夹里的驱动好像都是加载上就删除的
全删除
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp28.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mnsf / mnsf][Stopped/Auto Start]
  <\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp2D.tmp><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[ping / ping][Stopped/Auto Start]
  <\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp2B.tmp><N/A>

至于这个
[crsyyzvshwva / crsyyzvshwva][Running/Manual Start]
  <\??\C:\DOCUME~1\SA\LOCALS~1\Temp\jdkqojpztlgp><N/A>
应该是wangsea大大的wsyscheck的驱动，不管

删除浏览器加载项
[]
  {1629FF4F-ACDB-5C90-A098-FACB3456A261} <C:\WINDOWS\system32\mpmyaapi.dll, N/A>
[]
  {228DF602-9541-A985-210A-984A698C6F22} <C:\WINDOWS\system32\ptjhbhlp.dll, N/A>
[]
  {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>
由于无法检测
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs>键值
我就留着等进系统的时候删
在PE里利用修改时间判断并将病毒文件收集起来，忽然发现个问题，WIN.INI和EXPLORER被改了，将EXPLORER覆盖回来，将WIN.INI里的几行屏蔽
;[mhfp]
;mhfp=msosmhfp00.dll
;[dohs]
;dohs=msosdohs00.dll
;[ping]
;ping=msosping00.dll
;[mnsf]
;mnsf=msosmnsf00.dll
重启机器，进系统
看了看WSYSCHECK，进程里还有很多的DLL，那个应该是
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs>键值里的，修改不回来，貌似有监控的
用XDELBOX填上路径，一并删
  [C:\WINDOWS\system32\kduy.dll]  [N/A, ]
    [C:\WINDOWS\system32\dnteh.dll]  [N/A, ]
    [C:\WINDOWS\system32\lariytrz.dll]  [N/A, ]
    [C:\WINDOWS\system32\xfgnxfn.dll]  [N/A, ]
    [C:\WINDOWS\system32\sehhter.dll]  [N/A, ]
    [C:\WINDOWS\system32\fjyjy.dll]  [N/A, ]
    [C:\WINDOWS\system32\msepbe.dll]  [N/A, ]
删完重启，修改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs>键值为空
完成

这个病毒用到了mspaint.exe，以前看过好像机器狗还是磁碟机来着也用这个文件，不知为何（加载驱动？），请达人指教
相比悠管，偶还是比较幸运的，可能是网速慢的问题，病毒下的好像不如悠管的多，就只能测试到这里了

如何妥善处理被此毒替换的explorer.exe。

svcoss.exe运行后，下载一堆木马/病毒，详见http://bbs.janmeng.com/thread-737261-1-1.html。
此外，此毒修改svchost.exe和wscntfy.exe内存，并替换windows目录下的explorer.exe（此替换的后果可以穿透影子2008全影模式）。
被病毒替换的explorer.exe文件大小不变，图标变为一般.exe的图标（图1）。如果用户使用的安全软件监控文件MD5值，中毒、重启系统后，用户发现：安全软件会报告explorer.exe的MD5值改变。
可以用IceSword一类的工具强制删除这个假冒的explorer.exe。
注意了：删除windows目录下的假explorer.exe后，进程中会立即出现一个c:\windows\system32\dllcache\explorer.exe.tmp进程。此时，HIPS类工具会报告注册表更改动作：
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\分支添加：
PedingFileRenameOption（指向c:\windows\system32\dllcache\explorer.exe.tmp）
此时，应禁止此注册表改动操作，删除c:\windows\system32\dllcache\explorer.exe.tmp。
删除c:\windows\system32\dllcache\explorer.exe.tmp后，系统中又出现一个怪怪explorer.exe的进程（图2）。此进程可用IceSword结束，相应的病毒文件也可用IceSword删除。

之所以罗里罗嗦的补充这些，意在提醒中招者注意：手工处理这个被病毒替换的explorer.exe时需要细心。否则，功亏一篑

病毒名称：Net-Worm.Win32.Allaple.b（Kaspersky）
病毒别名：Win32.Troj.Henkan.a.57856（毒霸）
　　　　　 Worm.Mail.Allaple.b（瑞星）
病毒大小：57,856 字节
加壳方式：N/A
样本MD5：N/A（变形病毒）
样本SHA1：N/A（变形病毒）
发现时间：2006.12
更新时间：2006.12
关联病毒：
传播方式：可通过弱密码的共享网络，系统漏洞等途径传播


技术分析
==========

这是一个自变形蠕虫病毒，在被感染系统中生成若干病毒副本，可通过系统弱口令系统漏洞等途径传播，发送DoS攻击。

蠕虫感染系统后在系统目录生成文件：
%System%\urdvxc.exe

创建以下服务：


QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
显示名：Network Windows Service
描述：Network Windows service management
可执行文件的路径："%System%\urdvxc.exe" /service
失败时执行命令：%System%\urdvxc.exe

此服务第一次启动失败时会尝试重新启动服务，第二次启动失败时则运行%System%\urdvxc.exe。

病毒会向系统部分目录（含有htm/html文件的目录）生成自身的若干新副本，文件名随机，如：
bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
由于病毒自我变形，虽然文件大小都是57856字节，但每个副本都不一样。

病毒给每一个副本都注册不同的CLSID，如：


[Copy to clipboard]
CODE:
[HKEY_CLASSES_ROOT\CLSID\{8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE}\InprocServer32]
@="bzehxvnz.exe"

修改目录中的htm/html文件，在<html>标签后插入类似如下代码：


[Copy to clipboard]
CODE:
<OBJECT type="application/x-oleobject"CLASSID="CLSID:8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE"></OBJECT>

每个htm/html页面中的CLSID不同，分别对应病毒副本的CLSID，即当用户打开该htm/html文件时，对应CLSID的病毒副本将被运行。

此外，病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机，还能发起DoS攻击。


清除步骤
==========

1. 删除病毒服务：


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]

2. 重新启动计算机

3. 删除文件：
%System%\urdvxc.exe

4. 全盘搜索大小约58K左右的文件名随机的exe文件，删除它们

5. 注册表中病毒添加的CLSID和htm/html页面中被添加的代码清除起来有些困难，经过测试发现Kaspersky（卡巴斯基）可以清除htm/html页面中病毒插入的<object>代码

日志及分析详细见 http://bbs.kingzoo.com/thread-17859-1-1.html

我们注意到 日志中的如下段落：


<IFEO><C:\WINDOWS\system32\drivers\drivers.cab.exe>   

<IFEO><C:\WINDOWS\system32\drivers\drivers.cab.exe>   

<IFEO><C:\WINDOWS\system32\drivers\drivers.cab.exe>   

<IFEO><C:\WINDOWS\Fonts\fonts.exe>   


<IFEO><C:\WINDOWS\Fonts\Fonts.exe>   


<IFEO><C:\WINDOWS\Media\rndll32.pif>   

<IFEO><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>   

<IFEO><C:\WINDOWS\Fonts\tskmgr.exe>   

删除IFEO劫持后，问题即解决！

病毒文件：crs.exe
病毒特征：在进程中结束该进程后马上再生


1、打开SREng，备用；

2、打开IceSword禁止进程创建：（文件——设置——禁止进程创建）

3、用IceSword结束病毒进程：C:\WINDOWS\system32\crs.exe

4、用IceSword删除病毒文件：C:\WINDOWS\system32\crs.exe

5、用SRE修复注册表： 将shell的键值由Explorer.exe crs.exe改为Explorer.exe

6、取消IceSword的“禁止进程创建”。

7、重新启动计算机，清除完毕。

　清除方法：
　　下载Rootkit Unhooker并安装，进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，将mspcidrv.sys所挂钩的服务移出，之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后就OK了，当然你还可以进入c:windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。大功告成！！

最近可能是在某个网站下载了某垃圾软件，结果金山毒霸显示c： windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒，却无法删除；就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后，向系统添加一个名为Internet Connection Manager（管理Internet网络连接）的自启动系统服务（用于实现远程监控），源文件为c:\windows\system32\internet.exe，并向ie浏览器添加了一个名为IEHELPER.DLL的插件，以上就是这个程序的最终目的。到此为止，这都只是个很普通的木马程序做的事情，剩下的就是它为了保证这两项能在系统中常驻所花的心思了，而它厉害的地方也在于此。
Z,J0q }"q!XGuest　　程序运行时，在c:\windows\system32\drivers文件夹下添加一个名为的系统驱动，向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项（注意，这个大有用处）。同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项（启动浏览器时自动激活NTDLL32.DLL）向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项，分别都指向c:\windows\system32.internet.exe，驱动mspcidrv.sys加载后会改写三个系统服务描述表项，分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey，并HOOK，使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了，这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项，这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件，在程序启动时，它就作为一个系统线程插入explorer进程，并对注册表项进行监视，它分别检测上述两个最终目的的两处注册表项，发现它们被删除就立刻重写, 这一招的作用是，在驱动还在的情况下，如果注册表项被删除（通过某些工具软件如：Rootkit Unhooker），就立刻重写，保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的，所以在驱动失效，而它自己的注册表项又已被清除的情况下，它也只能维持在驱动被清除之前的那一次进程插入，以保证下次开机时两个最终目的启动项的完整。

解决方法：
1、下载SREng，放至桌面，后断开网络连接。
2、打开SREng，删除启动项目：“advap32”
3、根据advap32项目指向的文件，删除：loader.exe，大小15360 bytes。
文件名称：loader.exe
文件大小：15360 bytes
AV命名：Trojan-Downloader.Win32.Agent.aayp
加壳方式：未知
文件MD5：d2487e7c126f32c370bbbdffc503186e
病毒类型：邮件群发器
主要行为：
1、释放文件：
C:\WINDOWS\system32\3703087450.dat 32 字节
C:\Documents and Settings\Administrator\桌面\loader.exe 15360 bytes(原始路径)
2、添加启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runadvap32 = REG_SZ, ""C:\Documents and Settings\Administrator\桌面\loader.exe" /r"
3、连接网络：66.197.167.**，检查自身的最近版本，并下载。
4、以特定的字符串随机组合成邮箱地址，并发送垃圾邮件。

关闭IE用下面的工具全选，清理系统临时文件和IE临时文件夹      
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载windows清理助手V2.6清理一遍，记得之前更新好
http://www.arswp.com/download/arswp2/arswp2.zip

1.建议使用XDelBox删除以下文件：(XDelBox1.7下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入（右键不检查路径导入）后在要删除文件上点击右键，选择立刻重启删除(请勾上“抑制再生”的选项），电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\explore.exe
c:\docume~1\玩\locals~1\temp\_tmp.bat
c:\docume~1\玩\locals~1\temp\_tmp.bat
c:\docume~1\玩\locals~1\temp\_tmp.bat
c:\docume~1\玩\locals~1\temp\_tmp.bat
c:\docume~1\玩\locals~1\temp\_tmp.bat
c:\docume~1\玩\locals~1\temp\_tmp.bat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[HBService]    <; explore.exe>
[zkfsasad.dll]    <>
[szocgbez.dll]    <>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[xvvqk / xvvqk]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>
[wqnga / wqnga]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>
[rlmfz / rlmfz]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>
[ngavp / ngavp]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <>
[HBKernel Driver / HBKernel]    <>
[ffhwq / ffhwq]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>
[dztng / dztng]    <\??\C:\DOCUME~1\玩\LOCALS~1\Temp\_tmp.bat>