【病毒】autorun.inf and w.cmd

**windata** · 2008-07-08, 10:56 PM

這是我朋友的電腦目前所中的病毒與目前狀況
一.工作管理員看不出異常
二.Rootkit Unhooker 找不到鎖定的隱藏程序在執行中
三.掃毒軟體 NOD32 3.0xxx 並沒有掛掉，但啥東西都掃不到… srO
四.Panda 可以掃到
16 個弱點？ vulnerabilities
5 個可疑的檔案
615 個受感染的檔案
五.System32 的 Drivers 裡面找不到
srosa.sys / hldrrr.exe / mdelk.exe / wintem.exe
六.隱藏資料夾與系統檔案顯示不能（同樣的被綁架了

=====================
一.請問有沒有人有經驗處理這樣的病毒與狀況呢？
二.準備使用重灌大法
三.不良的使用習慣會...害死我們這些永久性義務大愛免費勞工的 ...srO

以上！

=====================
經過十秒鐘之後…找到 jvvo.exe 與 kxvo.exe
經過查找…原來是新變種 kXvo 真是層出不窮啊…
繼續解毒中...

以下是附件的掃毒結果，附檔名均已改成 .bak 了，有興趣的可以外帶回家吃吃看

autorun.inf

AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;-
Authentium;5.1.0.4;2008.07.07;-
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;-
CAT-QuickHeal;9.50;2008.07.08;-
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;-
eSafe;7.0.17.0;2008.07.08;-
eTrust-Vet;31.6.5936;2008.07.08;INF/Frethog
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;-
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;-
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;-
Prevx1;V2;2008.07.08;-
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/AutoInf-A
Sunbelt;3.1.1509.1;2008.07.04;INF.Autorun (v)
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;-
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;-
Webwasher-Gateway;6.6.2;2008.07.08;-

w.cmd

AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;-
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;-
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;-
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;-
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;-
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen

這個送去掃描好像有點多此一舉？
w.rar（包含 autorun.inf 與 w.cmd

AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen

ㄚ一 · 2008-07-09, 01:09 AM

[AutoRun]
open=w.cmd
shell\open\Command=w.cmd
shell\open\Default=1
shell\explore\Command=w.cmd

w.cmd (events: 19)
2008/7/9 上午 01:08:26 Placed in group High Restricted
2008/7/9 上午 01:08:26 Setting debug privileges Denied: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege
2008/7/9 上午 01:08:26 Modification C:\WINDOWS\system32\drivers\vga.sys Denied: KLSystemData/KLSystemFiles/Drivers
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo0.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo1.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo2.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo3.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo4.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo5.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo6.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo7.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo8.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo9.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:28 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run Denied: KLSystemData/KLStartupRegKeys/Main_Run
2008/7/9 上午 01:08:38 Access to another process memory c:\windows\explorer.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLReadProcMem
2008/7/9 上午 01:08:52 Process start c:\windows\system32\dwwin.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc

再不行的話就用sreng來解毒

**luznga** · 2008-07-09, 01:42 AM

1.先用下列方式修改，恢復能正常顯示隱藏功能
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden為1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue為1

2.檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中有沒有可疑的檔案連結
3.搜尋autorun.inf及w.cmd並刪除(不要直接點選磁碟機)
4.再至系統(winnt/system32)/Temp/Driver目錄下找找看有沒有可疑或隱藏檔的執行檔

若嫌麻煩就去卡巴\趨勢\賽門網站找免費掃毒工具試試看摟~~

再不行就只有用重灌大法了

**Donna** · 2008-07-09, 08:51 AM

如果你有檔案的資料和路徑，建議你試試看這樣處理
http://www.pczone.com.tw/thread/3/136449/ 討論串的 http://tw.myblog.yahoo.com/noname-team/ 下載的 XPPE光碟，作成光碟之後，從光碟開機。
直接進入你的 C 磁碟，刪除病毒檔案，然後再重新開機，進入系統之後，試試看是否可以恢復顯示隱藏檔案的功能（luznga 大大所提供的第一點方式），如果可以，請以防毒程式重新掃毒。

如果不行，表示系統中應該還有病毒存在。

**even** · 2008-07-09, 09:22 AM

不知你有沒有試過這個

USB隨身碟蠕蟲病毒清除精靈

之前也中過類似的,你試試...

**Roger** · 2008-07-09, 08:07 PM

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\Documents and Settings\Roger\Local Settings\Temp\gp.dll

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo.exe

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo0.dll

2008-07-09 20:05:44 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:jvsoft

2008-07-09 20:05:44 应用程序保护(修改其它进程内存) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
目标进程:C:\WINDOWS\Explorer.EXE

EQSandbox

**不潔之力** · 2008-07-11, 11:21 AM

請參考看看~(最後一篇)
這是我的手動解毒的流程~
http://www.pczone.com.tw/thread/28/141231/3/

kavo~kxvo~tsao~jvvo都是一樣的解法~

**windata** · 2008-07-11, 11:55 AM

謝謝各位的建議

目前…已經解的差不多了（手動
自己採用的步驟與『不潔之力』差不多
不過…我覺得最奇怪的是『在執行中的程序中，竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的

**不潔之力** · 2008-07-12, 12:17 PM

作者：windata

謝謝各位的建議

目前…已經解的差不多了（手動
自己採用的步驟與『不潔之力』差不多
不過…我覺得最奇怪的是『在執行中的程序中，竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的

竟然找不到隱藏的病毒
↑是指工作管理員裡面看不到嗎?
看不到是正常的~

另外~dos指令也是沒多大用處~
在後面幾次的變種後~
我已經放棄用dos了~

**windata** · 2008-07-13, 06:14 PM

並不是用 taskmgr
而是用 rootkit unhooker 去看的

指令至少是一種手段

【病毒】autorun.inf and w.cmd

主題: 【病毒】autorun.inf and w.cmd

主題工具