svfex外匯

『壹』 svfqnty.exe 這個是有什麼作用的

svfqnty.exe的文件特徵如下：
1，MD5：
2，大小：25,529 位元組，這么小的體積一看就知道應當是個下載者來的
3，屬性：隱藏加系統文件
此病毒主要是盜QQ密碼和游戲帳號密碼,瑞星報Worm.Win32.AVKiller.aq
中毒症狀：
1，復制svfqnty.exe和autoruns.inf到非系統目錄，插入U盤U盤或移動硬碟時馬上復制到U盤，當在別的電腦雙擊U盤時即感染電腦，達到傳播的目的。由於病毒修改了注冊表，無法直接在資源管理器中看到這2個文件，可以藉助winrar來查看。
2，autoruns.inf代碼如下
程序代碼
[AutoRun]
open=svfqnty.exe
shell\open=打開(&O)
shell\open\Command=svfqnty.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=svfqnty.exe
3，程序入口：0041A3CC
程序被加殼。引用了KERNEL32.DLL，USER32.DLL，ADVAPI32.DLL，OLEAUT32.DLL，SHELL32.DLL等庫的這些函數。
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
GetKeyboardType
RegQueryValueExA
SysFreeString
TlsSetValue
RegSetValueExA
lstrcmpiA
keybd_event
ShellExecuteA
OpenServiceA
URLDownloadToFileA
DeleteUrlCacheEntry
讓我感到意外的是用URLDownloadToFileA來下載文件，這個函數現在不是大多數殺軟都殺的嗎？
4，如果你打開含有「病毒」或者「木馬」字樣的文件夾或者程序，病毒立馬把文件夾或程序關閉，如費爾等，而當IE的標題包含這些字元時同樣會關閉IE，所以我把標題的「病毒，木馬」這些字元刪除了。還會自動關閉病毒程序所在的文件夾C:\Program Files\Common Files\Microsoft Shared，C:\Program Files\Common Files\System等，甚至查看KPVTCTR.EXE的屬性都被自動關閉,而當你在任務管理器中試圖關閉kpvtctr.exe時，它反而把任務管理器關閉。雙擊非系統盤時首先關閉此盤，然後再打開。當查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows中app.ITIN的值時關閉注冊表
5，刪除文件夾菜單中「工具」－「文件夾選項」－「隱藏文件和文件夾」中的「顯示所有文件和文件夾」，把」不顯示隱藏的文件和文件夾「打勾，這樣就無法看到隱藏的文件了
6，如果你的電腦開著瑞星監控和防火牆，關閉進程，同時無法再次啟動防火牆的服務，rising pricess cimmunication center服務的屬性無法修改，只要一打開就自動被關閉，且啟動已經被修改成「禁用」，卡巴6一樣。原來瑞星的驅動已經被幹掉了

解決辦法：
1，祭出許可權大法，打開開始菜單，在「運行」中輸入「regedit」進入注冊表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options此項，點擊右鍵，選擇許可權，把每個用戶下的「拒絕」打勾。

跳轉到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
把這3項的許可權一樣設置為拒絕
2，幹掉已經啟動的病毒的dll和exe。
首先啟動Wsyscheck.exe，此程序沒有被劫持，也沒有被關閉，啟動後選擇「禁止進程和文件創建」，

然後幹掉這2個exe

然後啟動我修改的那個費爾木馬清除助手，下載到這里http://202.116.160.44/dachong/goldsword/article.asp?id=219
在路徑里輸入下列文件，選擇第二項。默認c為系統盤
C:\windows\system32\rarjdpi.dll
C:\windows\system32\kvdxhma.dll
C:\windows\system32\rsztfpm.dll
C:\windows\system32\kawdczy.dll
C:\windows\system32\avwgemn.dll
C:\windows\system32\kvmxfma.dll
C:\windows\system32\rsmygpm.dll
C:\windows\system32\wsmsazx.dll
C:\windows\system32\avzxfmn.dll
C:\windows\system32\avwldmn.dll
C:\windows\system32\kvdxsfma.dll
C:\windows\system32\wsmsaax.exe
C:\windows\system32\wsmsacj.dll
C:\windows\system32\verclsids.exe
C:\windows\system32\rsztfsp.exe
C:\windows\system32\rsztffg.dll
C:\windows\system32\rsmygsp.exe
C:\windows\system32\rsmygfg.dll
C:\windows\system32\rarjdtl.exe
C:\windows\system32\rarjdni.dll
C:\windows\system32\kvmxfis.exe
C:\windows\system32\kvmxfcf.dll
C:\windows\system32\kvdxsfis.exe
C:\windows\system32\kvdxsfcf.dll
C:\windows\system32\kvdxhis.exe
C:\windows\system32\kvdxhcf.dll
C:\windows\system32\kawdccs.dll
C:\windows\system32\kawdcaz.exe
C:\windows\system32\bsmains.exe
C:\windows\system32\avzxfst.exe
C:\windows\system32\avwldst.exe
C:\windows\system32\avwldin.dll
C:\windows\system32\avwgest.exe
C:\windows\system32\avwgein.dll
C:\Program Files\meex.exe
C:\Program Files\DLD.DAT
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd2.dll
C:\Documents and Settings\kers\Local Settings\Temp\3222.exe
C:\Documents and Settings\kers\Local Settings\Temp\2222.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll
C:\WINDOWS\Fonts\ardaase.fon
C:\WINDOWS\Fonts\ardasase.fon
C:\WINDOWS\Fonts\armease.fon
C:\WINDOWS\Fonts\avzxfin.dll
C:\WINDOWS\Fonts\chreaur.fon
C:\WINDOWS\Fonts\enweafx.fon
C:\WINDOWS\Fonts\gemoand.fon
C:\WINDOWS\Fonts\gezeand.fon
C:\WINDOWS\Fonts\msguasd.fon
C:\WINDOWS\Fonts\mswuasd.fon
C:\WINDOWS\Fonts\mszhasd.fon
C:\WINDOWS\Fonts\wymoafz.fon
d:\svfqnty.exe
d:\aitoruns.inf
e:\svfqnty.exe
e:\aitoruns.inf
................
3,重啟系統
4，現在把修改的那些許可權修改回來，修復注冊表。
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中除Your Image File Name Here without a path以外的值全部刪除，
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows中app.ITIN的值清空
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks中的值只留下rising和shell32.dll2個，其餘清空。
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run下的
kujxsac c:\program files\common files\system\kpvtctr.exe
svfqnty c:\program files\common files\microsoft shared\hkvaciq.exe
2個幹掉
這時基本上把病毒趕出家門了，最後QQ可能需要卸載新安裝，而瑞星也需要修復。
卸載qq,刪除QQ目錄，保留自己號碼的那個文件夾，重裝QQ
瑞星一樣，卸載時選擇刪除安裝目錄，之後重裝