大战sofa搜发恶心流氓病毒

今日不知哪位同事访问了什么网站，中了这个恶心的流氓病毒sofa，一看名字要知道有多流氓就有多流氓。它会自动打开它的主页，下载中文上网、安装掌中影音伴侣等垃圾软件中的垃圾、还安装一个adpopup插件，在桌面上建立一个交友社区的快捷方式，链接到２２００３３．ｃｎ的X网站上。它在添加删除里面也有删除项，但是点击以后窗口就死翘翘了，必须强行关闭。关闭后还非常嚣张的打开它的网站。气愤不过，想把它完全消灭干净。

1。使用hijackthis扫描，可疑的项目如下：

1. O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll
2. O2 - BHO: IeBarpos101 - {CCDD3A2C-8003-5D08-CAB3-4D2A16E9F93E} - C:\WINDOWS\MICROS~1.IE\toolsbar.dll
3. O3 - Toolbar: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll
4. O9 - Extra button: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll
5. O9 - Extra 'Tools' menuitem: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll

再把相关目录删除。但是这些项目过了一会就又出现了。第一回合败下阵来。

2。既然这样，那就到安全模式底下。同样的hijackthis，同样删除。重启到正常模式，世界清静了。心里窃喜。胜利了！

好景不长，在使用了20分钟以后又反映有窗口闪过。打开一看，那个sofa的恶心的工具条有出现了。又失败了。

3。仔细思量了一下，应该是有一个可执行文件做成服务的形式的。在一次在我的电脑里面打开D盘时鼠标变了形状后一点反应都没有。于是知道了，autorun.inf！好了，运行cmd，dir \ /ah，然后type autorun.inf一看，清楚了：

[AutoRun]

open=servet.exe

shellexecute=servet.exe

shell\Auto\command=servet.exe

取消这两个文件的+R和+H属性，删除。所有磁盘都这样处理，然后hijackthis，再删除上面的两个目录。重启……

到现在为止，各盘根下面的两个文件还没有发现。但是登陆时还是说不能加载d92t.dll文件。看来又有东西在作怪，明天再战。

---

4。今日的工具还是hijackthis，还增加了一个工具SREng（System Repair Engineer)。首先还是hijackthis工具，今天发现更多的东西：

1. O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll
2. O2 - BHO: IeBarpos101 - {CCDD3A2C-8003-5D08-CAB3-4D2A16E9F93E} - C:\WINDOWS\MICROS~1.IE\toolsbar.dll
3. O3 - Toolbar: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll
4. O4 - HKLM\..\Run: [CoolSwitch] ; C:\WINDOWS\system32\taskswitch.exe
5. O4 - HKLM\..\RunOnce: [d92t] %systemroot%\system32\Rundll32.exe %systemroot%\system32\d92t.dll,DllUnregisterServer
6. O9 - Extra button: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll
7. O9 - Extra 'Tools' menuitem: SofaIEToolbar - {B9D4F581-DC98-35D6-C448-D8CF02039D5E} - C:\WINDOWS\Microsoft..IE\toolsbar.dll
8. O23 - Service: Protected StorageSys (WindowsDown) - Unknown owner - C:\WINDOWS\system32\servet.exe

查看TaskSwitch.exe 文件的数字签名姓名是Lou Amadia，但签名无法验证。删除以上所有项目。用SREng查找启动项目，发现有一些hijackthis没有发现的东西，删除。在服务/驱动程序里面发现一个0vy51.sys的项目，查看文件属性，一点信息都没有，删除！但是删除不了，先disable掉再说。还有另外一些没有公司名称，不知啥东西的也同样处理。

查找文件名含有sofa的文件，找到3个可疑的，文件名是sofa034.exe，分别在windows目录、system32目录和prefetch中，数字签名属于beijing eqifa net-tech co. ltd，颁发：CN = Thawte Code Signing CA，O = Thawte Consulting (Pty) Ltd.，C = ZA。同样无法验证，杀无赦！

经过一番艰苦战斗后重新启动计算机，竟然还是有那个d92t.dll的问题，且启动速度还是像前些时候一样，在登录的页面停留很长时间才进入系统。

---

经过一天的使用，那些目录已经没有再出现，也没有弹出要安装啥垃圾软件的窗口。但是那个d92t.dll的问题始终存在。不知道哪个东西在启动的时候把它加到注册表runonce里面，然后执行。在安全模式下面那个加载的runonce项估计没有被执行，还在注册表里面呆着，但是删除后重新启动又出现了。如果是正常启动就执行一次，然后自动删除。启动速度依然很慢，估计是那个恶心的东西在寻找那个dll文件，或者在做些苟且之事。