File: Hide.exe
　　Size: 24501 bytes
　　File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
　　MD5: F7E7A6F787B1790BC60A02D4B3F33F7E
　　SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C
　　CRC32: 4470B037

　　生成如下文件：
　　%system32%\wnipsvr.exe

　　同时注册服务Visual     WEB
　　启动类型：自动
　　显示名称：NetworSVSA
　　服务描述：允许对TCP/IP上NetBios服务以及NetBT名称解析的支持//达到开机启动的目的

　　在每个分区下面生成一个Hide.exe和autorun.inf//达到通过移动存储传播的目的

　　调用exitprocess函数试图结束如下进程
　　kavstart.exe
　　kvsrvxp.exe
　　RavMon.exe

　　后台调用使用cmd调用wnipsvr.exe的down参数下载木马

　　读取http://xz.*.info/ad.txt的下载配置文件下载木马
　　http://xz.*.info/1.exe~http://xz.*.info/19.exe
　　到%program files%下面分别命名为pro1.exe~pro19.exe

　　下载的木马主要盗以下几种网络游戏的帐号（包括但不限于,列举常见的）
　　奇迹世界  
　　QQ华夏  
　　天龙八部
　　大话西游II  
　　机战ZeroOnline公测版  
　　魔域  
　　问道  
　　完美世界  
　　风云－雄霸天下
　　QQ

　　以上木马均能关闭自动更新和Windows防火墙
　　并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

　　下面建立相关键值达到开机启动目的

　　木马植入成功后，生成如下文件：
　　%system32%\*ini.dll
　　%system32%\*ins.exe
　　%system32%\*pri.dll
　　%system32%\*man.dll
　　%system32%\*set.exe
　　(括号内的*一般为随机3个字母)

　　%SystemRoot%/DbgHlp32.exe
　　%SystemRoot%/system32\DbgHlp32.dll
　　%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
　　%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
　　%system32%\sers.exe（建立一个服务）

　　本例中对应的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><wggpri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>     []
       <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>     []
       <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>     []
       <{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll>     []
       <{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll>     []
       <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>     []
       <{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll>     []
       <{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll>     []
       <{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll>     []
       <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>     []
       <{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll>     []
       <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll>     []
       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet

Explorer\PLUGINS\WinSys64.Sys>     []
　　服务
[NetworSVSA / Visual     WEB][Stopped/Auto Start]
     <C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>
[Telephonyl / Windowsve][Stopped/Auto Start]
     <C:\WINDOWS\system32\sers.exe><N/A>

　　清除办法或解决教程：
　　1.清除病毒主程序
　　打开sreng （可到down.45its.com下载）

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

　　NetworSVSA / Visual     WEB

　　2.清除*pri.dll,*man.dll等盗号木马

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，打开%system32%文件夹（默认C:\Windows\system32）单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll，更多高级选项 钩选 搜索隐藏的文件和文件夹，右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律

　　打开sreng 启动选项 查看

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
一栏，记住*man.dll的那些名字。比如本例中的mxbman.dll，ztaman.dll，然后还是搜索这些文件 然后把他们重命名

　　3.打开sreng
　　启动项目     注册表 删除如下项目

<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>     [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]        <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>     []

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

　　Telephonyl / Windowsve

　　4.重启计算机

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定。点击     菜单栏下方的 文件夹按钮（搜索右边的按钮），从左边的资源管理器 进入系统所在磁盘（默认C盘）。删除如下文件：

hide.exe autorun.inf %system32%\*ini.dll %system32%\*ins.exe (括号内的*一般为随机3个字母) %SystemRoot%/DbgHlp32.exe %SystemRoot%/system32\DbgHlp32.dll %SystemRoot%/system32\sers.exe %ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp %ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys %system32%\wnipsvr.exe 以及你重命名的那些 %system32%\*pri.dll %system32%\*man.dll

　　从左边的资源管理器 进入其他磁盘
　　删除hide.exe和autorun.inf

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

　　Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是

　　C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%SystemRoot%/      WINDODWS所在目录

　　%ProgramFiles%\     系统程序默认安装目录