机子中伪honey木马下载器的经历和解决过程

多年未曾中过招了，不想昨天一时大意中了伪honey木马下载器等一系列木马，费了一天的时间终于算是基本解决了，这期间360的各种安全软件和论坛都对我有一定的帮助，所以今天注册了个新号发帖子，详细介绍一下整个中招和解决的过程，本人水平有限，很多地方只知其然不知其所以然，所以如有错误的地方还请各位高手指正。

想来已有10年的网龄，由于个人的使用习惯还算可以，自家机子上中过的病毒屈指可数，除了CIH和HAPPYSKY两个病毒印象深刻，直接导致系统重装外，偶尔有点小木马扫描出来就接着杀掉了，都没有发作和影响正常的使用操作。

昨天因为玩儿网游时把卡巴关掉了，退出时忘了开，上百度搜“中国的世界史学家”，刚打开排名前几位的几个网站时就发现不大对劲（具体哪个网站我可不想再去看了），“开始”点不动了，可那几个网站看起来都还比较正规，也没弹出啥窗口，有估计也被傲游屏蔽了吧，于是赶快打开卡巴，就发现右下角不断得弹出提示，大量的xxxxx.dat被不停得加入不信用组里（小部分还加到低受限里），如yorsj.dat  ogysj.dat  vrksj.dat  hkssj.dat  emhsj.dat等等。我想坏了，急忙断了线，用卡巴快速扫描系统，日志如下：

2008/7/24 23:43:51 已完成任务  
2008/7/24 23:43:51 已删除: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll 
2008/7/24 23:43:51 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0005 
2008/7/24 23:43:51 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0004 
2008/7/24 23:43:51 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0003 
2008/7/24 23:43:51 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0002 
2008/7/24 23:43:51 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0001 
2008/7/24 23:43:50 已清除: Trojan-GameThief.Win32.OnLineGames.sjbv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{28766E1C-74B0-4417-8C75-F12AE309EF35} 
2008/7/24 23:43:50 已清除: Trojan-GameThief.Win32.OnLineGames.sjbv HKCR\{28766e1c-74b0-4417-8c75-f12ae309ef35}\InprocServer32 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0000 
2008/7/24 23:43:49 已删除: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0005 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0004 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0003 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0002 
2008/7/24 23:43:49 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0001 
2008/7/24 23:43:49 已清除: Trojan-GameThief.Win32.OnLineGames.sizl HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F99DEFDD-200B-4410-B572-E90883D527D2} 
2008/7/24 23:43:49 已清除: Trojan-GameThief.Win32.OnLineGames.sizl HKCR\{f99defdd-200b-4410-b572-e90883d527d2}\InprocServer32 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0000 
2008/7/24 23:43:48 已删除: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0005 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0004 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0003 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0002 
2008/7/24 23:43:48 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0001 
2008/7/24 23:43:48 已清除: Trojan-GameThief.Win32.OnLineGames.sjaa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC} 
2008/7/24 23:43:48 已清除: Trojan-GameThief.Win32.OnLineGames.sjaa HKCR\{e8a3b193-77e3-4fb3-986d-f4fa4828bafc}\InprocServer32 
2008/7/24 23:43:47 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0000 
2008/7/24 23:43:47 已删除: Trojan.Win32.Agent.von C:\Windows\system32\myusemt.dll 
2008/7/24 23:43:46 已清除: Trojan.Win32.Agent.von HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 
2008/7/24 23:43:46 已检测到: Trojan.Win32.Agent.von C:\Windows\system32\myusemt.dll 
2008/7/24 23:43:46 已删除: Trojan-GameThief.Win32.OnLineGames.siyu C:\Windows\system32\jfdses.dll 
2008/7/24 23:43:45 已清除: Trojan-GameThief.Win32.OnLineGames.siyu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B} 
2008/7/24 23:43:45 已清除: Trojan-GameThief.Win32.OnLineGames.siyu HKCR\{81af1cf6-d1c9-4c6a-ac01-ede54e71945b}\InprocServer32 
2008/7/24 23:43:45 已检测到: Trojan-GameThief.Win32.OnLineGames.siyu C:\Windows\system32\jfdses.dll 
2008/7/24 23:43:45 已删除: Trojan-GameThief.Win32.OnLineGames.sizy C:\Windows\system32\dndsaf.dll 
2008/7/24 23:43:44 已清除: Trojan-GameThief.Win32.OnLineGames.sizy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{259BF3CF-194D-4FE6-9ADB-DE6544B098B6} 
2008/7/24 23:43:44 已清除: Trojan-GameThief.Win32.OnLineGames.sizy HKCR\{259bf3cf-194d-4fe6-9adb-de6544b098b6}\InprocServer32 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sizy C:\Windows\system32\dndsaf.dll 
2008/7/24 23:43:43 已删除: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0005 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0004 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0003 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0002 
2008/7/24 23:43:43 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0001 
2008/7/24 23:43:43 已清除: Trojan-GameThief.Win32.OnLineGames.sjaq HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A9895933-6636-4281-BC58-EE6DE2AF96E3} 
2008/7/24 23:43:43 已清除: Trojan-GameThief.Win32.OnLineGames.sjaq HKCR\{a9895933-6636-4281-bc58-ee6de2af96e3}\InprocServer32 
2008/7/24 23:43:42 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0000 
2008/7/24 23:43:42 未清除: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 由用户跳过
2008/7/24 23:43:42 已检测到: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 
2008/7/24 23:42:10 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0005 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0004 
2008/7/24 23:42:09 未清除: Trojan-GameThief.Win32.OnLineGames.sizy C:\Windows\system32\dndsaf.dll 已延期
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizy C:\Windows\system32\dndsaf.dll 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0003 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0005 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0002 
2008/7/24 23:42:09 未清除: Trojan-GameThief.Win32.OnLineGames.siyu C:\Windows\system32\jfdses.dll 已延期
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.siyu C:\Windows\system32\jfdses.dll 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0004 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0001 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0003 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0005 
2008/7/24 23:42:09 未清除: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0000 已延期
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaa C:\Windows\system32\wklsdd.dll/data0000 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0002 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0004 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0001 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0003 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0002 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0005 
2008/7/24 23:42:09 未清除: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0000 已延期
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sizl C:\Windows\system32\wrqszl.dll/data0000 
2008/7/24 23:42:09 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0004 
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0001 
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0003 
2008/7/24 23:42:08 未清除: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0000 已延期
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjaq C:\Windows\system32\ddserh.dll/data0000 
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0002 
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0001 
2008/7/24 23:42:08 未清除: Trojan.Win32.Agent.von C:\Windows\system32\myusemt.dll 已延期
2008/7/24 23:42:08 已检测到: Trojan.Win32.Agent.von C:\Windows\system32\myusemt.dll 
2008/7/24 23:42:08 未清除: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0000 已延期
2008/7/24 23:42:08 已检测到: Trojan-GameThief.Win32.OnLineGames.sjbv C:\Windows\system32\wzcfsw.dll/data0000 
2008/7/24 23:41:48 未清除: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 已延期
2008/7/24 23:41:48 已检测到: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 
2008/7/24 23:41:46 未清除: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 已延期
2008/7/24 23:41:46 已检测到: Trojan-Downloader.Win32.Agent.vwl C:\Windows\explorer.exe/PE_Patch/UPack 

虽然杀了不少，但Trojan-Downloader.Win32.Agent.vwl 感染了C:\Windows\explorer.exe/PE_Patch/UPack，不能清除，只能跳过了。没办法用360在安全模式下查杀，删掉了windows目录下的kvpf.exe,并去掉了usemtk恶意木马、zgfdet盗号木马变种、机器狗木马相关残留、msdos盗号木马残留等几个恶评插件 。只有那个伪honey木马下载器需要重启后清除，可是重启再杀依然存在，而且每次启动会，不管是安全模式还是正常模式，因为他感染了explorer文件，所以任务栏总是有点问题，各种应用程序都失掉了关联，而且进程中每次都会多出一个exe的进程，如qwzx.exe、svuo.exe、syfg.exe、cqpb.exe等等，必须每次都要在任务管理器中把这些进程和explorer.exe关掉，然后重新运行explorer才能执行各种程序。杀到最后，只剩这个伪honey木马下载器没办法处理了。这时木马已经把系统破坏的挺厉害了，卡巴和360的防护都无法随机启动，qq医生也无法运行。

360论坛上也有许多讲这个木马的帖子，但由于我的系统是vista，而且中的是新的变种，都不适用。用360、顽固木马专杀大全和arswp都无济于事。网上有人介绍说把system32下的explorer.exe删掉，然后用未染毒的机子的explorer来替换本机windwos目录下的explorer.exe，可是不管在安全模式还是普通模式，不管如何更改权限，ststem32下的explorer.exe都无法被删除，偶有一次改名成了1explorer.exe，但重启后又恢复成了explorer，而且再也没法改名了。

最后光驱引导，在pe系统中把ststem32下的explorer终于删掉了，但windows目录下的始终没法删除或覆盖，为了防止system32下又再生出新的explorer来，仿照过去预防autorun木马的方法，在该目录下建了个explorer.exe的文件夹，并改成只读。重启后发现界面正常，卡巴和360的防护也能随机运行了，任务栏也能右键弹出菜单了，看了下任务管理器，也没再多出exe的进程。用卡巴、360全面扫描后也都没在发现有木马的存在。正在庆贺之际，突然发现机子没声音了，设备管理器中也没问号，还好重装了声卡驱动后就好了，难道这木马把驱动也感染了？要不就是卡巴在杀毒时一块给删掉了？

清理完毕后用了一下午，暂时还没问题，但总觉得清楚的不彻底。是什么原因让system32下总是存在那个explorer文件的，一直没办法了解，只是建了个文件夹防止它复制，但指标没有治本。不知道各位有了解这个木马的发作机理的么？还有在木马发作时估计下了大量的dat文件，都放在了c:\cnd\文件夹下，这个文件夹原系统有么？目前里面还有个ukusj.dat文件，不过应该没有毒性了吧，代码是：
:try
del "c:\cnd\ukusj.dat"
if exist "c:\cnd\ukusj.dat" goto try
del %0

至于这些木马在服务、注册表里有没有修改，在以上的基础上我的机子还需要哪些清理工作，请高手指出来，在此先谢过了，如果有与我同病相怜者，试试这个招行不行。应该能暂时解决使用问题。