“千千静听”官方网站挂马（wxptdi.sys,msconkt.sys等木马群的查杀）

作者：清新阳光            ( [url]http://hi.baidu.com/newcenturysun[/url] )
日期：2007/12/22              (转载请保留此声明)

清除办法：
下载

sreng： [url]http://download.kztechs.com/files/sreng2.zip[/url]

 

Xdelbox： [url]http://www.dodudou.com/down/[/url]  里面的原创软件文件夹下

1.解压缩Xdelbox

在 添加旁边的框中 输入

%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推）
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中

右键 点击右键菜单中的 “立即重启执行删除”

重启计算机以后 会有两个系统进入的选择的倒计时界面

第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式

2.重启之后

打开sreng
启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
    <cmdbcs><%systemroot%\cmdbcs.exe> []
    <WinSysM><%systemroot%\608769M.exe> []
    <WinSysW><%systemroot%\608769L.exe> []
    <Kvsc3><%systemroot%\Kvsc3.exE> []
    <AVPSrv><%systemroot%\AVPSrv.exE> []
    <NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
    <DbgHlp32><%systemroot%\DbgHlp32.exe> []


在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>（之前的comint32.sys变种）

[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>

[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>（机器狗病毒变种）

3.清除机器狗病毒
参考 [url]http://hi.baidu.com/newcenturysu[/url] ... 1da2aca40f5236.html
解决方法第三点即可

4.清除GD*I32.dll，bj*rl.dll，addr*help.dll木马群
参考 [url]http://hi.baidu.com/newcenturysu[/url] ... add2ab5fdf0e65.html 即可

5.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址： [url]http://www.vaid.cn/blog/read.php?9[/url]