针对下载病毒文件的处理方法（16.9kb压缩文件）

kaixinggg

近来许多朋友在下载资料时，发现下回来的压缩包只有16.9kb，解压后为22kb，而且是一个setup.exe的安装文件，点击安装，不会有任何提示。防火墙会报告有黑客程序正在运行并试图隐藏恶意软件的运行。
能检测到: 风险软件 Hidden object 正在运行: C:\Program Files\Common Files\Microsoft Shared\VGX\regin.exe和C:\WINDOWS\system32\gdisvc.exe进程。并且每20分钟扫描一次正在运行的应用程序，每2秒钟扫描一次注册表并试图修改键值名 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 的值名{ACADABAF-1000-0010-8000-10AA006D2EA4} 。
并复制安装文件然后结束应用程序，删除用户当前保存和未保存的文件（包括临时文件），开启多个ie进程，利用并打开端口发送、接收数据（种置木马程序 Trojan-PSW.Win32.OnLineGames.dwv 木马程序 Trojan-Downloader.Win32.Tiny.ky木马程序 Trojan-PSW.Win32.OnLineGames.dyh ）等。修改系统时间，减慢网速，导致整机瘫痪。
杀毒软件无法查杀。
表现为一开机就运行regin.exe,gdisvc.exe,iexplorer.exe
建议未感染和已排除木马病毒的机子及时安全更新MS07-017和MS07-046。
regin.exe,   gdisvc.exe,   iexplorer.exe   regin.exe   nwwzbf99.dll   plapp.sys等病毒专杀
一. 建议使用XDelBox删除以下文件：
使用说明：添加下面所有路径或在空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键，选择立刻重启删除[有提示不存在该文件的就忽略,添加其它文件]，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 字串1
c:\windows\system32\nwwzbf99.dll
c:\program files\common files\system\gdiserver.exe
c:\windows\system32\drivers\ywuc.sys
c:\windows\system32\drivers\rbjhsg.sys
c:\windows\system32\drivers\r4dp2q.sys
c:\windows\system32\drivers\plapp.sys
c:\windows\system32\drivers\nwwzbf99.sys
c:\windows\system32\gdisvc.exe
c:\program files\common files\microsoft shared\vgx\regin.exe
字串2
2.删除重启后使用SREng：
字串9
    删除下面的服务（运行SRENG--->启动项目--->服务--->Win32服务应用程序--->勾选隐藏已认证的微软项目--->选择要删除服务--->选择删除服务--->点击设置--->出现提示里选择否，确认删除。如果删除不了Win32服务应用程序=>修改启动类型Disabled=>设置）
[Gdi Server / Gdi Server]    <c:\program files\common files\system\gdiServer.exe>
字串3
    删除下面的驱动（运行SRENG--->启动项目--->服务--->驱动程序--->勾选隐藏已认证的微软项目--->选择要删除的驱动--->选择删除服务--->点击设置--->出现提示里选择否，确认删除。）
字串8
[ywu / ywuc]    <\SystemRoot\System32\DRIVERS\ywuc.sys>
[rbjhsg / rbjhsg]    <\SystemRoot\\SystemRoot\System32\drivers\rbjhsg.sys>
[r4dp2q / r4dp2q]    <\??\C:\WINDOWS\system32\drivers\r4dp2q.sys>
[plap / plapp]    <\SystemRoot\System32\DRIVERS\plapp.sys>
[nwwzbf9 / nwwzbf99]    <\SystemRoot\System32\DRIVERS\nwwzbf99.sys> 字串4
下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp2/arswp2.zip
二. 安全模式下：
首先 打开控制面板-管理工具-服务，将gdi server 服务停用
在文件夹选项中，将系统文件，隐藏文件显示
再找到下列文件之后，删除
c:\program files\common files\system\gdiserver.exe
c:\program files\common files\microsoft shared\vgxregin.exe
c:windows\system32\gdisvc.exe
打开注册表c:\windows\regedit.exe,查找gdisvc,gdiserver，将相关目录删除
重启
希望此帖能对朋友们有所帮助。

kaixinggg

顺便补充一句，该木马能够监视特殊网络协议（如ftp等），并且自动关闭应用程序（已植入木马），上传网络时替换了源文件（仅保留文件名）。所以即使再次上传，可能还是木马，这样的机子必须查杀木马后才能发送电子邮件。

阿Q菜鸟

好!十分详细!
早发就好了!害我重装!!!!

nobody555

非常感谢楼主，同时非常BS在G宝盘上篡改文件，传播木马的人！

同时提醒大家在下载时一定要注意！希望G宝盘能尽快解决问题！

ggrenkey

严重支持
我的就是啊
最后重装了

[ 本帖最后由 ggrenkey 于 2007-10-6 20:28 编辑 ]

yqzx

原来如此啊？害人不浅。

zhansh

谢谢朋友，另外大家一定要看论坛的公告

cj1183

我的就是啊,最后重装了,555555555555

guiwuchang

我在昨晚中的毒，幸亏当时就删掉。旋转的喜字是病毒

ft829329

原来如此啊？