U盘病毒GHO.exe（兼答rav*mon.exe,rav*mon.dat等木马群的清除）

　　具体分析如下：
　　File: GHO.exe
　　Size: 27956 bytes
　　MD5: CE20FD06E488A52E991C87696E4797A7
　　SHA1: 3AD8467C8414E666111A7DC76698D0271595DFC9
　　CRC32: BC91AA1B

　　病毒运行后：
　　生成如下文件:
　　%system32%\crsss.exe
　　在每个分区下面释放
　　autorun.inf和gho.exe 右键菜单无变化

　　遍历所有分区的htm文件
　　在其后面插入代码（插入的代码由后面连接网络读取的http://www.*.com.cn/xz/3.txt里面的内容决定）

　　注册表变化:

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　下添加键值crsss指向 C:\WINDOWS\system32\crsss.exe 达到开机启动的目的

　　通过reg.exe不断修改以下注册表键值
　　在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies下面增加WindowsUpdate子键在其中设置名为

　　DisableWindowsUpdateAccess键值并把其值设置为0x00000001 关闭系统自动更新

　　修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的值为0x00000000 屏蔽显示隐藏文件

　　试图修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page键值（被修改的键值随时改变，具体情况由

　　http://www.*.com.cn/xz/2.txt里面的内容决定
　　并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001
使得IE主页修改按钮失效

　　其他变化：修改系统时间为2000年，月日不变

　　读取http://www.*.com.cn/xz/1.txt里面的内容下载木马
　　http://www.*.com.cn/xz/mh.exe
　　http://www.*.com.cn/xz/zt.exe
　　http://www.*.com.cn/xz/qj.exe
　　http://www.*.com.cn/xz/zx.exe
　　http://www.*.com.cn/xz/ms.exe
　　http://www.*.com.cn/xz/my.exe
　　http://www.*.com.cn/xz/tl.exe
　　http://www.*.com.cn/xz/rx.exe
　　http://www.*.com.cn/xz/wd.exe
　　http://www.*.com.cn/xz/dh.exe
　　http://www.*.com.cn/xz/tz.exe
　　http://www.*.com.cn/xz/gj.exe
　　http://www.*.com.cn/xz/tt.exe
　　到系统文件夹分别命名为0temp.exe~13temp.exe（部分链接已失效）

　　木马全部植入完毕以后，生成如下文件
　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
　　C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
　　C:\Program Files\NetMeeting\rav*mon.cfg
　　C:\Program Files\NetMeeting\rav*mon.dat
　　C:\Program Files\NetMeeting\rav*mon.exe（*代表两个随机字母）
　　C:\WINDOWS\system32\mssock.sys
　　C:\WINDOWS\system32\mssql.dll
　　...

　　其中的盗号木马会盗包括如下网络游戏的密码（但不限于）
　　侏仙
　　风云
　　雄霸天下
　　完美世界
　　梦幻西游
　　魔兽世界
　　魔域
　　奇迹世界
　　问道
　　QQ

　　对应的sreng日志如下
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            []
            []
            []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}>     []
       <{DD7D4640-4464-48C0-82FD-21338366D2D2}>     []
==================================
正在运行的进程
[PID: 1680][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmhmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravztmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravqjmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravzxmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmymon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravmsmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravfymon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravgjmon.dat]     [N/A, ]
       [C:\Program Files\NetMeeting\ravwdmon.dat]     [N/A, ]
       [C:\Program Files\Internet Explorer\InfoMs.tdm]     [N/A, ]
       [C:\WINDOWS\system32\mssql.dll]     [N/A, ]
==================================
Winsock 提供者
MSSQL Tcpip [TCP/IP]
       C:\WINDOWS\system32\mssql.dll(, N/A)
MSSQL Tcpip [UDP/IP]
       C:\WINDOWS\system32\mssql.dll(, N/A)
            []

　　手动清除办法：
　　1.首先把系统时间改回来
　　下载sreng这个软件（到down.45it.com下载）

　　重启计算机进入安全模式(开机后不断按F8键       然后出来一个高级菜单选择第一项安全模式进入系统)

　　打开sreng
　　启动项目       注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            []
            []
            []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}>     []
       <{DD7D4640-4464-48C0-82FD-21338366D2D2}>     []

　　系统修复－Windows shell/IE 选中
　　设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复

　　2.把下面的代码拷入记事本中然后另存为1.reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

　　双击1.reg把这个注册表项导入

　　3.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提

　　示确定更改时，单击“是” 然后确定,点击菜单栏下方的文件夹按钮（搜索右边的按钮）

从左边的资源管理器进入C盘

　　删除如下文件：
　　C:\WINDOWS\system32\crsss.exe
　　C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
　　C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
　　C:\Program Files\Internet Explorer\InfoMs.tdm
　　C:\Program Files\NetMeeting\rav*mon.cfg
　　C:\Program Files\NetMeeting\rav*mon.dat
　　C:\Program Files\NetMeeting\rav*mon.exe（*代表两个随机字母）
　　C:\gho.exe
　　C:\autorun.inf

　　点击菜单栏下方的文件夹按钮（搜索右边的按钮）
　　从左边的资源管理器进入其他盘
　　删除gho.exe autorun.inf
　　以及E盘的Autorun.exe

　　4.重启计算机
　　删除C:\WINDOWS\system32\mssock.sys
　　C:\WINDOWS\system32\mssql.dll

　　5.使用iframekill.rar工具清理被感染的htm等文件(可到down.45it.com下载)