1222.exe病毒清除办法及1222.exe专杀下载

<BR><P><FONT size=2><STRONG><FONT size=3>1222.exe</FONT></STRONG>病毒样本rxmoefa.exe&nbsp;是在各个分区下的病毒安装文件。<BR><BR>运行rxmoefa.exe<BR>创建进程wqdlitd.exe和shulbhs.exe<BR>注册表run下加入wqdlitd和shulbhs两个启动项<BR>修改checkvalue＝0使隐藏文件不能显示<BR>添加Image&nbsp;File&nbsp;Execution&nbsp;Options项如下（映象劫持）添加见附1。<BR>除c盘外每个盘下写入autorun.inf和rxmoefa.exe<BR>system32下释放文件dld.dat(内容为http://www.5460w.cn/xzz/0603.exe<BR>,稍后你会看到wqdlitd.exe从这个网址下载罪恶的0603.exe)meex.com&nbsp;wqdlitd.exe和shulbhs.exe<BR>该病毒没有发现添加服务、驱动也没有插入dll线程<BR><BR><BR><STRONG><FONT size=3>1222.exe病毒清除办法及1222.exe专杀下载解决方法：</FONT></STRONG><BR></FONT></P>
<P><FONT size=2>终止两个进程（两个线程相互保护，需要icesword禁用线程创建然后结束掉），使用sreng或运行注册表<BR><BR>删除wqdlitd和shulbhs两个启动项，在注册表中将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden<BR><BR>\SHOWALL]下checkvalut改为1，使其显示隐藏文件（我在iceword下查看文件的，这一步纯粹为了修复系<BR><BR>统），将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows&nbsp;NT\CurrentVersion\]下的[Image&nbsp;File&nbsp;<BR><BR>Execution&nbsp;Options]这个项全部删除（删后杀毒软件就可以用了）<BR>system32下删除dld.dat&nbsp;&nbsp;meex.com&nbsp;&nbsp;wqdlitd.exe和shulbhs.exe<BR>删除各个盘下autorun.inf和rxmoefa.exe<BR><BR><BR>总结：分析完觉得没什么，我在太平洋上写过一个7个字母随机文件名的病毒，它们是一摸一样的东西。链接如下，那时是5月27号。<BR>http://softbbs.pconline.com.cn/topic.jsp?tid=7154371<BR>以上为该病毒运行后无其它多于操作的症状，网络为开启状态。<BR><BR><BR><BR>就在我以为自己算是重复做了同样事情的时候，病毒出现了新行为：&nbsp;wqdlitd.exe&nbsp;突然试图调用system32下0603.exe(这个文件突然出现的，刚运行病毒的时候并没有0603.exe这个文件，事实上&nbsp;wqdlitd.exe&nbsp;每隔一段时间会下载并运行它，该文件没有隐藏),之后explorer会调用C:\Documents&nbsp;and&nbsp;Settings\xulong\Local&nbsp;Settings\Temp\0222.exe<BR>0222.exe会在C:\Program&nbsp;Files\Common&nbsp;Files\Microsoft&nbsp;Shared\MSInfo&nbsp;注入SysWFGQQ2.dll，并在注册表添加启动项<BR>explorer继续调用调用C:\Documents&nbsp;and&nbsp;Settings\xulong\Local&nbsp;Settings\Temp\1222.exe<BR>1222.exe修改如下程序内存C:\WINDOWS\system32\smss.exe&nbsp;csrss.exe&nbsp;winlogon.exe&nbsp;services.exe&nbsp;<BR><BR>lsass.exe&nbsp;svchost.exe&nbsp;spoolsv.exe&nbsp;explorer.exe&nbsp;shulbhs.exe&nbsp;ctfmo.exe&nbsp;wqdlitd.exe&nbsp;之后你会发现，它修改的是所有在运行程序的内存（目的不详）。<BR></p><p align='center'><b><font color='red'>[1]</font>&nbsp;<a href='http://www.hotbus.cn/it/200707/2632_2.html'>[2]</a>&nbsp;<a href='http://www.hotbus.cn/it/200707/2632_2.html'>下一页</a> </b></p> <BR>