我也中了一个未知木马

经过研究发现他是一恶性下载程序

发作后生成

伪讯雷木马 nowx

Heuristic.New恶意木马

sysloader木马程序

改IE首页为www.345dh.cn

同时生成

C:\DOCUME~1\sc023yyb\LOCALS~1\Temp\upd9.tmp

C:\DOCUME~1\sc023yyb\LOCALS~1\Temp\_iu14D2N.tmp

安装网际快车迷你版

注册表增加:

ysloader木马程序 信息

HKLM\Software\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

HKLM\Software\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38} [lver]:

(3.4.4)

HKLM\Software\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[lastpoptime]: (1220072457)

HKLM\Software\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[webbrowser]: ({686488AF-13D5-9DDF-4FEF-9FB88698CFC1})

HKLM\Software\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[wversion]: (3.5.8)

HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38} [lver]:

(3.4.4)

HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[lastpoptime]: (1220072457)

HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[webbrowser]: ({686488AF-13D5-9DDF-4FEF-9FB88698CFC1})

HKLM\SOFTWARE\Classes\CLSID\{F9BA1AA9-CAD4-4C14-BDE6-922DFF5F6F38}

[wversion]: (3.5.8)

伪讯雷木马 nowx 信息

C:\WINDOWS\system32\tmpzydf0.exe

Heuristic.New恶意木马 信息

C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\Office\USERDATA\VLOHGD~1.DLL

HKCR\CLSID\{686488AF-13D5-9DDF-4FEF-9FB88698CFC1}

HKCR\CLSID\{686488AF-13D5-9DDF-4FEF-9FB88698CFC1} [Default]: (IncePrivate

Class)

HKCR\CLSID\{686488AF-13D5-9DDF-4FEF-9FB88698CFC1}\InprocServer32

HKCR\CLSID\{686488AF-13D5-9DDF-4FEF-9FB88698CFC1}\InprocServer32 [Default]:

(C:\Documents and Settings\All Users\Application

Data\Microsoft\Office\USERDATA\VLohGD9p1V.dll)

HKCR\CLSID\{686488AF-13D5-9DDF-4FEF-9FB88698CFC1}\InprocServer32

[ThreadingModel]: (Apartment)

我曾经在断网安全模式下用360杀,并改注册表,再重启到断网安全模式再杀便没用了,但改IE首页仍然运行,并改两项注册表,这两项在断网情况下,依然会运行,但上面几个木马程序没用了,可以断言,这一恶意下载器,隐藏在注册表的某一位置,可惜我没找到,杀软也查不出,当你一连网,便下载上面说的软件,这时杀软及360才报警.

我也苦于找不到原始的文件隐藏在何处,无法根除

而且在每个盘生成
autorun.inf 的隐藏目录

最新进展:
因为不能确认我是哪一步操作起的决定性作用,所以把过程写下来,仅供参考.
由前面推测,我中的是 恶意下载器 ,所以在网上搜索,恶意下载器,其中搜到一个"dodo",网上虽有帖子,但基本是问的,而且没有明显能解决问题的,而且我无法确定我中的就是"dodo".
用金山清理专家-恶意软件查杀,查出一个"dodolook",描述和我遇到的差不多,但金山清理专家-恶意软件查杀也无法根除.
但这也使我初步判断了我中的是"dodolook"恶意下载器,再一次网上搜索,还搜到一条.
他说的方法大致是:先打开任务管理器,关闭一些与此相关的及可疑的进程,再在注册表中搜索"dodolook"相关的键值,全部删除,再用杀软查杀,完了后,就只剩下IE的篡改,说是已经问题不大了,也交给杀软件解决.
我的做法是:没找到可疑进程(用360及金山清楚专家的分析安全和未知来做分析),接下来直接搜索注册表(开始-运行,输入regedit,查找"dodolook"),还真找到了一个网页链接,隐藏在游戏表中的一个"QQdownload"下,大致网址好象是 "www.shadu100.***",详细记不到了,但应该 shadu100 这个应该是没错,原本认为这个没问题,还曾经打开过这个网址,后来还是把这个键值删了,再用360和金山清理专家查杀,没有了恶意软件,重启,再杀,还是没有了.
但IE首页为仍然要被篡改为www.345dh.cn,在注册表中搜到三项,全部删除,但重赢后又被篡改,晕.
又在网上搜,搜到一方法:
方法二:修改注册表
　　但是，很多情况下，由于受了恶意程序的控制，进入“IE工具栏”也无法再把其改回来。有时候，“可更改主页”的地址栏也变成了灰色，无法再进行调整；有时候，即使你把网址改回来了，再开启IE浏览器，那个恶意网址又跑回来了。
　　这种情况下我们应该怎么办呢？最通常的办法是找到相应的注册表文件，把它改回来。
　　以IE首页的注册表文件修改为例，我们首先要启动Windows的注册表编辑器，具体方法是点击Windows界面左下角的“开始”按钮，再选择“运行”，在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。
　　IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的，而这个子键的键值就是IE首页的网址。以笔者的电脑为例，键值是http://www.sina.com.cn，它是可以修改的，用户可以改为自己常用的网址，或是改为“about:blank”，即空白页。这样，你重启IE就可以看到效果了。
　　如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。
　　这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。
　　除了上面的情况外，有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。对于这种情况，我们同样可以通过修改注册表来解决，运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL子键，然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

发此贴时篡改首页的方法还未试(中招的是另一台电脑),但我认为我就只差这一条了:
如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。
　　这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。
做到这一条,应该就OK了

对了,还要记住之前要删除每个盘根目录里的 隐藏目录 "autorun.inf"
打开 我的电脑,工具菜单,文件夹选项,查看,在隐藏文件或文件夹下,把显示所有文件和文件夹选中,
这样就可看到 autorun.inf 目录了

哦,前面还要把自动下载的 网际快车MINI版 也删除

按楼上朋友的操作试过了，也没用啊