OiZQdnX.com,KK.dll,WinSys8x.Sys病毒手动解决

这是一个木马下载者病毒，通过替换微软相关服务启动自身，同时具有反病毒软件和关闭指定窗口的作用，值得一提的是关闭的窗口的关键字中含有某些与色情有关的关键字，因此本文题目中的AV自然就有了两种含义...

File: OiZQdnX.com
Size: 68096 bytes
Modified: 2007年11月9日, 18:13:47
MD5: 7BBF143B15089D0ADA39A323429BC7C4
SHA1: 2B3BE95F577AF7D22FDBA12454E6CFF61F023693
CRC32: C534F3F1

技术细节：
1、释放病毒副本：
%systemroot%\system32\KK.dll

2.调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe
Ras.exe
runiep.exe

3.注册表变化
创建HKLM\SYSTEM\ControlSet001\Control\GetData在其写入与下载有关的一些配置信息
修改HKLM\SYSTEM\ControlSet001\Services\BITS（与windows update有关的一个服务）的相关键值
使得其加载的dll改为%systemroot%\system32\KK.dll 达到开机启动自身的目的
并把该服务的启动类型改为“自动”

4.将KK.dll注入到IE中，通过IE实现下载行为

5.在系统盘下面释放KKSoft.bat删除自身

6.关闭带有如下关键字的窗口（与后面的下载行为有关）
病毒
杀毒
色情
强奸
做爱
奇虎360

7.不定时弹出某个网站页面

8.下载行为分析：
病毒联网后会下载http://*.cn/data.txt的配置文件

其中里面详细描述了病毒的其他一些行为
[Homepage]--描述了病毒锁定的主页地址（目前为空）
[runie] close=... --描述了病毒关闭的指定窗口的名称
[DownloadFile]--描述了下载的木马程序的路径
[showie]--描述了定期弹出的窗口或网站的地址

下载后的病毒（木马）会释放到windows下的Temp目录下
并分别命名为*kf（*代表数字）

待所有木马植入完毕以后，sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks]
{{25799B4A-E35A-4A34-BFE5-07C0784C37C7}}{%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys} []
==================================
服务
[Background Intelligent Transfer Service / BITS][Running/Auto Start]
{%systemroot%\system32\svchost.exe -k netsvcs--}%systemroot%\system32\KK.dll}{N/A}
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
{%systemroot%\system32\1kf.exe}{N/A}
[Transaction Provisioning Service / 919mm][Running/Auto Start]
{%systemroot%\system32\3kf.exe}{N/A}

解决办法：
下载sreng: 可到down.45it.com下载

启动计算机进入安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks]
{{25799B4A-E35A-4A34-BFE5-07C0784C37C7}}{%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys} []

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[Windows Accounts Driver / WindowsRemote][Running/Auto Start]
{%systemroot%\system32\1kf.exe}{N/A}
[Transaction Provisioning Service / 919mm][Running/Auto Start]
{%systemroot%\system32\3kf.exe}{N/A}

2.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击系统所在盘
删除如下文件
%systemroot%\system32\KK.dll
%systemroot%\system32\1kf.exe
%systemroot%\system32\3kf.exe
%Program Files%\Internet Explorer\PLUGINS\WinSys8x.Sys

在左边的资源管理器中单击E盘（如果有的话）
删除如下文件
E:\autorun.inf
E:\Autorun.exe

3.开始--运行输入regedit打开注册表编辑器
展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS （X代表数字）
找到Parameters子键
把ServiceDll的键值改为%systemroot%\system32\qmgr.dll