帮助您专杀msskye病毒

　　打开sreng 删除上面涉及到的启动项目 和IFEO项目然后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

　　复制C:Windowssystem32dllcacheuserinit.exe 到C:Windowssystem32覆盖已有文件 如果提示覆盖错误 在任务管理器里面结束userinit.exe即可

　　方法具体介绍:

　　最近机器狗病毒盛行，而黑客为了进一步增强病毒的破坏能力，在机器狗病毒中加入了很多“新功能”，应该可以预见到，复合型机器狗将会在未来的一段时间内盛行。

　　下面是最近截获的这个比较可恶的病毒的简要分析和查杀举例

　　File:mm.exe

　　Size: 12340 bytes

　　Modified: 2008年2月1日, 22:57:01

　　MD5: 3F93A9CCB07B2341C7BED9CE807CA34D

　　SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E

　　CRC32: 29257F02

　　1.主病毒（mm.exe）运行后，释放如下文件：

　　C:WINDOWSsystem32driverspcihdd2.sys

　　C:WINDOWSsystem32lssass.exe

　　注册服务DeepFree Update 指向C:WINDOWSsystem32driverspcihdd2.sys 并加载这个驱动 这个驱动即为机器狗的驱动

　　之后会替换userinit.exe文件

　　2.之后mm.exe启动C:WINDOWSsystem32lssass.exe 至此mm.exe（即机器狗）退出 大权交给lssass.exe

　　3.lssass.exe运行后，释放如下文件

　　C:WINDOWSsystem32driversati32srv.sys

　　注册服务ATI2HDDSRV 指向ati32srv.sys 并加载这个驱动 该驱动可以恢复系统的SSDT表 使得杀毒软件的API hook完全失效...很多杀毒软件的“主动防御”和“自我保护”功能也因此失效

　　4.调用cmd.exe把KvTrust.dll，UrlGuard.dll，antispy.dll，safemon.dll，ieprot.dll重命名为tmp%d.temp的格式

　　5.结束很多安全软件进程

　　avp.com

　　avp.exe

　　runiep.exe

　　PFW.exe

　　FYFireWall.exe

　　rfwmain.exe

　　rfwsrv.exe

　　KAVPF.exe

　　KPFW32.exe

　　nod32kui.exe

　　nod32.exe

　　Navapsvc.exe

　　Navapw32.exe

　　avconsol.exe

　　webscanx.exe

　　NPFMntor.exe

　　vsstat.exe

　　KPfwSvc.exe

　　Ras.exe

　　RavMonD.exe

　　mmsk.exe

　　WoptiClean.exe

　　QQKav.exe

　　QQDoctor.exe

　　EGHOST.exe

　　360Safe.exe

　　iparmo.exe

　　adam.exe

　　IceSword.exe

　　360rpt.exe

　　360tray.exe

　　AgentSvr.exe

　　AppSvc32.exe

　　autoruns.exe

　　avgrssvc.exe

　　AvMonitor.exe

　　CCenter.exe

　　ccSvcHst.exe

　　FileDsty.exe

　　FTCleanerShell.exe

　　HijackThis.exe

　　Iparmor.exe

　　isPwdSvc.exe

　　kabaload.exe

　　KaScrScn.SCR

　　KASMain.exe

　　KASTask.exe

　　KAVDX.exe

　　KAVPFW.exe

　　KAVSetup.exe

　　KAVStart.exe

　　KISLnchr.exe

　　KMailMon.exe

　　KMFilter.exe

　　KPFW32.exe

　　KPFW32X.exe

　　KPFWSvc.exe

　　KRegEx.exe

　　KRepair.com

　　KsLoader.exe

　　KVCenter.kxp

　　KvDetect.exe

　　KvfwMcl.exe

　　KVMonXP.kxp

　　KVMonXP_1.kxp

　　kvol.exe

　　kvolself.exe

　　KvReport.kxp

　　KVScan.kxp

　　KVSrvXP.exe

　　KVStub.kxp

　　kvupload.exe

　　kvwsc.exe

　　KvXP.kxp

　　KvXP_1.kxp

　　KWatch.exe

　　KWatch9x.exe

　　KWatchX.exe

　　MagicSet.exe

　　mcconsol.exe

　　mmqczj.exe

　　KAV32.exe

　　nod32krn.exe

　　PFWLiveUpdate.exe

　　QHSET.exe

　　RavMonD.exe

　　RavStub.exe

　　RegClean.exe

　　rfwcfg.exe

　　RfwMain.exe

　　rfwsrv.exe

　　RsAgent.exe

　　Rsaupd.exe

　　safelive.exe

　　scan32.exe

　　shcfg32.exe

　　SmartUp.exe

　　SREng.EXE

　　symlcsvc.exe

　　SysSafe.exe

　　TrojanDetector.exe

　　Trojanwall.exe

　　TrojDie.kxp

　　UIHost.exe

　　UmxAgent.exe

　　UmxAttachment.exe

　　UmxCfg.exe

　　UmxFwHlp.exe

　　UmxPol.exe

　　UpLive.exe

　　procexp.exe

　　OllyDBG.EXE

　　OllyICE.EXE

　　rfwstub.exe

　　RegTool.exe

　　rfwProxy.exe

　　6.映像劫持几乎上面所有安全软件指向“ntsd -d”

　　7.启动IE进行下载工作，首先会读取http://xtx.×××.info/images/xin.txt比较

　　里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能

　　8.之后继续读取下面的下载信息 下载木马

　　目前下载的病毒地址为

　　http://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exe

　　http://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe

　　病毒木马植入完毕后的sreng日志如下（本例中均假设系统装在C盘下）

　　启动项目

　　注册表

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　 []

　　 []

　　 []

　　 []

　　 []

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]

　　 []

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

　　<> []

　　<> []

　　<> []

　　<> []

　　<> []

　　==================================

　　驱动程序

　　[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]

　　

　　[DeepFree Update / DeepFree Update][Stopped/Manual Start]

　　

　　[msskye / msskye][Running/Auto Start]

　　

　　==================================

　　正在运行的进程

　　[PID: 1452][C:WINDOWSsystem32userinit.exe] [N/A, ]

　　[C:WINDOWSsystem32HDDGuard.dll] [N/A, ]

　　[PID: 1472][C:windowsexplorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

　　[C:WINDOWSsystem32JAA-JAA-1032.dll] [N/A, ]

　　[C:WINDOWSsystem32RAA_RAA_1002.dll] [N/A, ]

　　[C:WINDOWSFontsgjcsdyc.dll] [N/A, ]

　　[C:WINDOWSsystem32QAB_QAB_1011.dll] [N/A, ]

　　[C:WINDOWSsystem32IIA-IIA-1030.dll] [N/A, ]

　　[C:WINDOWSwlqirtuk.dll] [N/A, ]

　　[C:WINDOWSdcadmqws.dll] [N/A, ]

　　[C:WINDOWSsystem32upxdnd.dll] [N/A, ]

　　[C:WINDOWSsystem32WSockDrv32.dll] [N/A, ]

　　[C:WINDOWSsystem32LotusHlp.dll] [N/A, ]

　　[C:WINDOWSsystem32PTSShell.dll] [N/A, ]

　　[C:WINDOWSsystem32SHAProc.dll] [N/A, ]

　　[C:WINDOWSsystem32HDDGuard.dll] [N/A, ]

　　...

　　查杀方法举例：

　　1.手动查杀：

　　下载sreng：http://download.kztechs.com/files/sreng2.zip

　　Xdelbox：下载地址http://www.dodudou.com/down/里面的原创软件文件夹下

　　复制如下文字 到剪贴板（只限本例中下载的木马名称，具体情况需要具体分析）

　　C:WINDOWSFontsgjcsdss.dll

　　C:WINDOWSFontsgjcsdyc.dll

　　C:WINDOWSFontsgjcsdzc.exe

　　C:WINDOWSFontsgjcubxw.fon

　　C:WINDOWSsystem32driversmsaclue.sys

　　C:WINDOWSsystem32driversusbKeyInit.sys

　　C:WINDOWSsystem32auhad.dll

　　C:WINDOWSsystem32cuhad.dll

　　C:WINDOWSsystem32duygnef.dll

　　C:WINDOWSsystem32ejcvogxwow.dll

　　C:WINDOWSsystem32gnolnait.dll

　　C:WINDOWSsystem32HDDGuard.dll

　　C:WINDOWSsystem32HHHCompress.dll

　　C:WINDOWSsystem32hnibxqidj.dll

　　C:WINDOWSsystem32IIA-IIA-1030.dll

　　C:WINDOWSsystem32JAA-JAA-1032.dll

　　C:WINDOWSsystem32knjcwnezyzj.dll

　　C:WINDOWSsystem32knlExt.dll

　　C:WINDOWSsystem32lnaixnauhqq.dll

　　C:WINDOWSsystem32LotusHlp.dll

　　C:WINDOWSsystem32lrngbtlzx.dll

　　C:WINDOWSsystem32lssass.exe

　　C:WINDOWSsystem32LYLOADER.EXE

　　C:WINDOWSsystem32LYMANGR.DLL

　　C:WINDOWSsystem32MSDEG32.DLL

　　C:WINDOWSsystem32mshxxbb32.dll

　　C:WINDOWSsystem32msqjmmm32.dll

　　C:WINDOWSsystem32mstfhncn32.dll

　　C:WINDOWSsystem32mswmkkk32.dll

　　C:WINDOWSsystem32mswwwdj32.dll

　　C:WINDOWSsystem32niluw.dll

　　C:WINDOWSsystem32otpiexpqj.dll

　　C:WINDOWSsystem32PTSShell.dll

　　C:WINDOWSsystem32QAB_QAB_1011.dll

　　C:WINDOWSsystem32RAA_RAA_1002.dll

　　C:WINDOWSsystem32SHAProc.dll

　　C:WINDOWSsystem32upxdnd.dll

　　C:WINDOWSsystem32Wingin.exe

　　C:WINDOWSsystem32WSockDrv32.dll

　　C:WINDOWSsystem32xbwqogywm.dll

　　C:WINDOWSdcadmqws.dll

　　C:WINDOWSkfzmwcnyi.exe

　　C:WINDOWSlitknpar.exe

　　C:WINDOWSLotusHlp.exe

　　C:WINDOWSPTSShell.exe

　　C:WINDOWSSHAProc.exe

　　C:WINDOWSupxdnd.exe

　　C:WINDOWSwlqirtuk.dll

　　C:WINDOWSWSockDrv32.exe

　　解压下载的Xdelbox压缩包内所有文件到一个文件夹下

　　之后打开Xdelbox.exe

　　在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”

　　之后刚才复制的那个文件列表将出现在下面的大框中

　　然后再在下面的大框中单击右键 点击 “立即重启执行删除”

　　软件会自动重启计算机

　　重启计算机以后 会有两个系统进入的选择的倒计时界面

　　第一个是你原来的windows系统

　　第二个是这个软件给你设定的dos系统

　　不用你管，它会自动选择进入第二个系统

　　类似dos的界面滚动完毕以后 病毒就被删除了

　　之后他会自动重启进入正常模式

　　重启后 千万不要联网

　　打开sreng 删除上面涉及到的启动项目 和IFEO项目

　　然后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

　　复制C:Windowssystem32dllcacheuserinit.exe 到C:Windowssystem32覆盖已有文件 如果提示覆盖错误 在任务管理器里面结束userinit.exe即可

　　2.使用专杀处理（以瑞星近期出的机器狗专杀为例）

　　经测试该专杀可以杀灭目前大部分机器狗下载的木马 并可自动修复userinit.exe等系统文件

　　瑞星机器狗专杀：http://download.rising.com.cn/zsgj/RavEdog.exe

　　江民机器狗免疫程序下载：http://www.jiangmin.com/download/machinedogpatch.exe

　　360机器狗专杀：http://360.qihoo.com/4002404/2595242.html

　　金山机器狗专杀：http://bbs.duba.net/attachment.php?aid=16100608

　　超级巡警机器狗专杀：http://download.pchome.net/utility/antivirus/trojan/detail-81071.html

　　综上所述，复合型机器狗病毒具有机器狗的完全特征并加入了一些“新的功能”比如映像劫持杀毒软件，破坏杀毒软件的API hook等 今后可能会加入更多的破坏功能

　　目前此类病毒的主要传播途径是网页挂马

　　所以希望大家注意以下几点：

　　1.及时升级杀毒软件和防火墙（老生常谈）

　　2.一定要打全Windows系统补丁（非常重要）

　　3.各种软件也尽量使用最新版本，尤其迅雷，PPstream，realplayer，暴风影音，百度toolbar等等，现在大多以利用这些软件的漏洞挂马为主