Win32.Loader.c(Win32.Downloader)查杀综述(杀毒软件初始化失败)

最近发现这个病毒很流行，其实他和Win32.Downloader.b是一个病毒，都是先前罗姆病毒的变种感染的。被感染的文件一般报Win32.Loader.c或者Win32.Downloader。

被感染的文件不会释放病毒文件，一般会在末尾加入一个节，该节的内容一般为带有下载功能的代码，用于联网下载新的病毒。下载的病毒放到%systemroot%\system32\dllcache下面命名为svchost.exe并覆盖原来的文件。

被感染后如果病毒成功的下载了下来并运行了，主要有以下几种症状：

1.某些杀毒软件正常初始化失败，出现(0xc00000ba)错误。这是由于在这些软件的目录下添加了一个伪MFC42.DLL所致
2.所有系统分区外的exe文件被感染
3.下载大量木马和病毒文件（多为*door0.dll木马群）
4.会向移动存储中写入windows.scr和autorun.inf文件，达到通过移动存储传播的目的
5.会向局域网内的机器发动arp欺骗攻击

具体的病毒分析见http://forum.ikaka.com/topic.asp?board=28&artid=8375741

下面通过举例再完整的阐述一遍这个病毒的解决办法：

以下是一个被感染这个病毒后的sreng日志
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []
<{11DB88F9-409B-475E-8FD7-411653F6D367}><C:\WINDOWS\system32\55550.dll> []
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll> []
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []
<{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}><C:\WINDOWS\system32\dh3oor0.dll> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []
<{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []
<{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []
<{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []
<{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []
<{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}><C:\WINDOWS\system32\cqdoor0.dll> []
<{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []

==================================
浏览器加载项
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

==================================
正在运行的进程
[PID: 1692][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Internet Explorer\OnlO0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\mhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wodoor0.dll] [N/A, ]
[C:\WINDOWS\system32\55550.dll] [N/A, ]
[C:\WINDOWS\system32\csdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wgdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dadoor0.dll] [N/A, ]
[C:\WINDOWS\system32\dh3oor0.dll] [N/A, ]
[C:\WINDOWS\system32\qjdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\rxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\wddoor0.dll] [N/A, ]
[C:\Program Files\Common Files\fjOs0r.dll] [Microsoft Corporation, 1. 0. 0. 1]
[C:\WINDOWS\system32\tldoor0.dll] [N/A, ]
[C:\WINDOWS\system32\zxdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\mydoor0.dll] [N/A, ]
[C:\WINDOWS\system32\qhdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\cqdoor0.dll] [N/A, ]
[C:\WINDOWS\system32\fydoor0.dll] [N/A, ]

解决办法如下（注意一定一步一步来，不要漏掉任何一步,尤其注意后面要全盘杀毒）

 

[1] [2] 下一页