不知道为什么逻辑分区双击打不开，而且在任务管理器中会出现一个niu.exe的这么个东西

病毒特征：

File: niu.exe

Size: 36141 bytes

MD5: 1E3096FAE27F2E81F0AA73FFFA5171B0

SHA1: BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF

CRC32: C9ACBC14

病毒运行后：

文件变化:

释放文件C:WINDOWSsystem32crsss.exe

在每个分区下面释放

autorun.inf和niu.exe 右键菜单无变化

遍历所有分区的htm文件

在其后面 插入代码<IfrAmE src=/htm/htm.htm width=0 height=0></IfrAmE>

遍历所有分区 删除*.gho文件

删除C:WINDOWSsystem32verclsid.exe

注册表变化

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下添加<crsss><C:WINDOWSsystem32crsss.exe> [] 达到开机启动的目的

修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue

为0x00000001

达到 屏蔽隐藏文件显示的目的

在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate下面增加

DisableWindowsUpdateAccess键 并把其键值设为00000001 关闭windows自动更新功能

如果无连接网络 还有如下变化

不断暴力写HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainStart Page为 www.hao123.com

并且修改HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage 的值为00000001

使得IE主页修改按钮失效

如果连接网络则为如下变化

下载/htm/IEURL.txt到系统文件夹

该文本内为一网址 那么上面的被修改的主页则变为此文本中的网址

下载/htm/exe.txt到系统文件夹 读取里面的内容

下载木马

/xp/WindowsXP-KB888303-x86-CHS.exe

/xp/WindowsXP-KB838201-x86-CHS.exe

/xp/WindowsXP-KB284303-x86-CHS.exe

/xp/WindowsXP-KB398305-x86-CHS.exe

/xp/WindowsXP-KB983306-x86-CHS.exe

/xp/WindowsXP-KB828301-x86-CHS.exe

/xp/WindowsXP-KB328207-x86-CHS.exe

/xp/WindowsXP-KB138308-x86-CHS.exe

/xp/WindowsXP-KB238104-x86-CHS.exe

/xp/WindowsXP-KB284302-x86-CHS.exe

/xp/WindowsXP-KB468603-x86-CHS.exe

/xp/WindowsXP-KB878206-x86-CHS.exe

/xp/WindowsXP-KB423807-x86-CHS.exe

/xp/WindowsXP-KB138309-x86-CHS.exe

到系统文件夹 分别命名为0temp.exe~13temp.exe

木马生成物下面将列出 其他一些变化

0temp.exe修改系统时间为1987年10月18日

1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙 瑞星杀毒软件监控 卡卡上网安全助手的ie防漏墙

等 而此关闭并非结束进程 而是相当于用户的手动按软件上的停止保护（如图） 但再次运行该文件后 相关保护又会被开启

具体原理不懂 希望高手指教

木马植入完毕后 生成文件如下

C:WINDOWSsystem3210temp.DAT

C:WINDOWSsystem327temp.DAT

C:WINDOWSsystem32Autorun.inf

C:WINDOWSsystem32c.txt

C:WINDOWSsystem32driverssvchost.exe

C:WINDOWSsystem32d.txt

C:WINDOWSsystem32dhbini.dll

C:WINDOWSsystem32dhbpri.dll

C:WINDOWSsystem32nwizqjsj.exe

C:WINDOWSsystem32RemoteDbg.dll

C:WINDOWSsystem32test1.txt

C:WINDOWSsystem32TIMHost.dll

C:WINDOWSsystem32WinForm.dll

C:WINDOWSsystem32ztgini.dll

C:WINDOWSsystem32ztgpri.dll

C:WINDOWSTIMHost.exe

C:WINDOWSWinForm.exe

%temp%tlso.exe

%temp%zxzo0.dll

%temp%tlso0.dll

C:Program FilesInternet ExplorerPLUGINSSystem64.Sys

sreng日志如下

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<crsss><C:WINDOWSsystem32crsss.exe> []

<WinForm><C:WINDOWSWinForm.exe> []

<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []

<TIMHost><C:WINDOWSTIMHost.exe> []

<KVP><C:WINDOWSsystem32driverssvchost.exe> []

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

<AppInit_DLLs><dhbpri.dll> []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []

<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []

<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []

服务

[Remote Debug Service / RemoteDbg][Stopped/Auto Start]

<C:WINDOWSsystem32rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>

解决方法：

首先把系统时间改回来

并且修改 C:WINDOWSsystem32dhbpri.dll和

C:WINDOWSsystem32ztgpri.dll文件名为其他名称

然后重启计算机进入

安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<crsss><C:WINDOWSsystem32crsss.exe> []

<WinForm><C:WINDOWSWinForm.exe> []

<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []

<TIMHost><C:WINDOWSTIMHost.exe> []

<KVP><C:WINDOWSsystem32driverssvchost.exe> []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []

<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []

<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []

双击AppInit_DLLs 把其键值改为空

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Remote Debug Service / RemoteDbg

系统修复－Windows shell/IE 选中

设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容

然后点击下面的修复

把下面的代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）

从左边的资源管理器 进入C盘

删除如下文件C:WINDOWSsystem3210temp.DAT

C:WINDOWSsystem327temp.DAT

C:WINDOWSsystem32Autorun.inf

C:WINDOWSsystem32c.txt

C:WINDOWSsystem32driverssvchost.exe

C:WINDOWSsystem32d.txt

C:WINDOWSsystem32dhbini.dll

C:WINDOWSsystem32dhbpri.dll改完名称的文件

C:WINDOWSsystem32nwizqjsj.exe

C:WINDOWSsystem32RemoteDbg.dll

C:WINDOWSsystem32test1.txt

C:WINDOWSsystem32TIMHost.dll

C:WINDOWSsystem32WinForm.dll

C:WINDOWSsystem32ztgini.dll

C:WINDOWSsystem32ztgpri.dll改完名称的文件

C:WINDOWSTIMHost.exe

C:WINDOWSWinForm.exe

%temp%tlso.exe

%temp%zxzo0.dll

%temp%tlso0.dll

C:Program FilesInternet ExplorerPLUGINSSystem64.Sys

C:WINDOWSsystem32crsss.exe

C:autorun.inf

C:niu.exe

从左边的资源管理器 进入其他分区 删除autorun.inf和niu.exe。

使用一些工具清理被感染的htm等文件。不过gho文件就没办法恢复了。