最近不少网友反映主页被锁定为main.94ak.com，导致这个问题的原因其实就是最近风行的一个名为soS.Exe的病毒所致，该病毒以前写过很多文章了，但发现最近该病毒正通过移动存储,大量的网页挂马和局域网arp欺骗方式疯狂传播，而且会下载大量木马，甚至包括机器狗病毒，中毒者机器基本接近崩溃，因此下面把该病毒的完整解决方案详述一下

病毒简要分析File: TxHMoU.Exe
Size: 27136 bytes
Modified: 2007年12月16日, 12:12:07
MD5: 3A1382BE0C9B07DC403EC06ECED29649
SHA1: B4AD5D523A52F09E82EC5AB8E1DE3E44ACA909A4
CRC32: 4514BDF2
加壳方式：UPX

1.病毒运行后，衍生如下副本：
%systemroot%\system32\AuToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每个分区根目录下面生成AuToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.不断调用reg.exe进行相关的系统破坏，其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名

3.遍历磁盘分区删除gho文件

4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，

CONN.ASP文件,并在其尾部加入ieframe代码

5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\system32下面命名为FSEz.COM，

FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等
这三个文本文档一般分别为
http://*/url.txt
http://*/IE.txt
http://*/table.txt

其中
IE.txt为锁定的主页的列表
table.txt为关闭指定窗口的关键字列表
url.txt为下载的木马列表
且table.txt，IE.txt会每隔几秒下载一次检查是否有更新..

之后会读取IE.txt的中的内容（里面一般为一个网址）
目前为http://main.94ak.com
之后病毒则会把IE主页锁定为http://main.94ak.com ，且使得Internet选项中主页设定项变灰。

table.txt为病毒试图关闭的窗口关键字列表，目前为：
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山
社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
**
卡巴斯基
kaspersky
rising
瑞星
诺顿

之后会读取url.txt下载一系列木马和病毒
其中有目前比较流氓的机器狗病毒（破坏还原卡，替换userinit.exe）

中毒后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><%systemroot%\system32\TxHMoU.Exe> []
    <SSLDyn><%systemroot%\SSLDyn.exE> []
    <upxdnd><%systemroot%\upxdnd.exe> []
    <cmdbcs><%systemroot%\cmdbcs.exe> []
    <WinSysM><%systemroot%\608769M.exe> [N/A]
    <MsPrint32D><%systemroot%\hhbgkp.exe> []
    <KVP><%systemroot%\system32\drivers\svchost.exe> []
    <WinSysW><%systemroot%\608769L.exe> [N/A]
    <LotusHlp><%systemroot%\LotusHlp.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kaqhlzy.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9963387B-212E-4643-B207-82DAEA0E713D}><C:\Program Files\Internet

Explorer\PLUGINS\Wn_Sys8x.Sys> []
    <{521DAF25-0CF6-4605-A66D-010E84546FED}><%systemroot%\system32\edxqmewogy.dll>

[Microsoft Corporation]
    <{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><%systemroot%\system32\kvdxjma.dll> []
    <{7960356A-458E-DE24-BD50-268F589A56A7}><%systemroot%\system32\avwlgmn.dll> []
    <{BD561258-45F3-A451-F908-A258458226DB}><%systemroot%\system32\kvdxskma.dll> []
    <{8A1247C1-53DA-FF43-ABD3-345F323A48D8}><%systemroot%\system32\avwghmn.dll> []
    <{C7D81718-1314-5200-2597-58790101807C}><%systemroot%\system32\kaqhlzy.dll> []
    <{68907901-1416-3389-9981-372178569986}><%systemroot%\system32\kawdfzy.dll> []
    <{F6650011-3344-6688-4899-345FABCD156F}><%systemroot%\system32\ratbopi.dll> []
    <{88847374-8323-FADC-B443-4732ABCD3788}><%systemroot%\system32\sidjhzy.dll> []
    <{809B3B49-72F3-491E-87FA-1753DA02FA06}><%systemroot%\system32\vvneypgwnevm.dll>

[Microsoft Corporation]
    <{B859245F-345D-BC13-AC4F-145D47DA34FB}><%systemroot%\system32\avzxkmn.dll> []
    <{45679330-4034-9021-7012-909856721374}><%systemroot%\system32\wszjdzx.dll> []
==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在运行的进程
[PID: 1732][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\system32\kawdfzy.dll] [N/A, ]
    [C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
    [%systemroot%\system32\kvdxjma.dll] [N/A, ]
    [%systemroot%\system32\avwlgmn.dll] [N/A, ]
    [%systemroot%\system32\kvdxskma.dll] [N/A, ]
    [%systemroot%\system32\avwghmn.dll] [N/A, ]
    [%systemroot%\system32\kaqhlzy.dll] [N/A, ]
    [%systemroot%\system32\ratbopi.dll] [N/A, ]
    [%systemroot%\system32\sidjhzy.dll] [N/A, ]
    [%systemroot%\system32\avzxkmn.dll] [N/A, ]
    [%systemroot%\system32\wszjdzx.dll] [N/A, ]
    [%systemroot%\608769MM.DLL] [N/A, ]
    [%systemroot%\608769WL.DLL] [N/A, ]
    [%systemroot%\system32\MsPrint32D.dll] [N/A, ]
    [%systemroot%\system32\upxdnd.dll] [N/A, ]
    [%systemroot%\system32\LotusHlp.dll] [N/A, ]
    [%systemroot%\system32\cmdbcs.dll] [N/A, ]
    [%systemroot%\system32\SSLDyn.dll] [N/A, ]
    [%systemroot%\system32\kqldyqiyrj.dll] [Microsoft Corporation, 5.1.2600.3099]
    [%systemroot%\system32\ydysogypiasj.dll] [Microsoft Corporation, 5.1.2600.3099]
...

清除办法：
需要下载的工具：
1.sreng:http://download.kztechs.com/files/sreng2.zip
2.Xdelbox1.6版:http://www.dodudou.com/down/里面的原创软件文件夹下

强烈建议对病机断网隔离并拔掉机器上的移动存储设备再进行查杀！

一.清除病毒主程序TxHMoU.Exe
1.打开sreng
启动项目 注册表
删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <crsss><%systemroot%\system32\TxHMoU.Exe> []

重启计算机
打开sreng
系统修复 - Windows Shell/IE 全选 点击修复

之后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击打开系统盘（假设在C盘）

删除%systemroot%\system32\TxHMoU.Exe
C:\soS.Exe
C:\autorun.inf
%systemroot%\system32\FSEb.COM
%systemroot%\system32\FSEc.COM
%systemroot%\system32\FSEx.COM
%systemroot%\system32\TxHMoU.Exe
同理 从左边的资源管理器中单击打开其它盘
删除soS.Exe，autorun.inf

二.清除病毒下载的木马（由于病毒服务器上的木马群会随时变化，所以此方法仅供参考）
需要使用刚刚下载的Xdelbox1.6
使用方法如下：
解压Xdelbox压缩包到一个文件夹
打开XDelBox.exe

在 添加旁边的框中 分别输入（有经验的朋友可以根据sreng日志列出下面的病毒列表）
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\cmdbcs.exe
%systemroot%\LotusHlp.exe
%systemroot%\MsPrint32D.exe
%systemroot%\SSLDyn.exE
%systemroot%\system32\avwghmn.dll
%systemroot%\system32\avwghst.exe
%systemroot%\system32\avwlgmn.dll
%systemroot%\system32\avwlgst.exe
%systemroot%\system32\avzxkmn.dll
%systemroot%\system32\avzxkst.exe
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\drivers\comint32.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\edxqmewogy.dll
%systemroot%\system32\FTCCompress.dll
%systemroot%\system32\gdjzi32.dll
%systemroot%\system32\kaqhlaz.exe
%systemroot%\system32\kaqhlzy.dll
%systemroot%\system32\kawdfaz.exe
%systemroot%\system32\kawdfzy.dll
%systemroot%\system32\kvdxjisa.exe
%systemroot%\system32\kvdxjma.dll
%systemroot%\system32\kvdxskis.exe
%systemroot%\system32\kvdxskma.dll
%systemroot%\system32\LotusHlp.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\MsPrint32D.dll
%systemroot%\system32\msqdlsl32.dll
%systemroot%\system32\ratbopi.dll
%systemroot%\system32\ratbotl.exe
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\sidjhaz.exe
%systemroot%\system32\sidjhzy.dll
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\TxHMoU.Exe
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\vvneypgwnevm.dll
%systemroot%\system32\wszjdax.exe
%systemroot%\system32\wszjdzx.dll
%systemroot%\upxdnd.exe
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后在下面的大框中单击右键 点击 “立即重启进行删除”
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统

类似dos的界面滚动完毕以后 对应的木马就被删除了
之后他会自动重启进入正常模式

重启计算机后
打开sreng
删除上述对应的启动项目

三.清理机器狗病毒
1.清理机器狗病毒的驱动程序
本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys
方法使用Xdelbox直接删除该文件即可

2.其次机器狗病毒清理的关键是把被感染的userinit.exe替换回来。

注意：清理该病毒一定不要使用杀毒软件，因为杀毒软件会盲目的将userinit.exe删除而导致重启计算机后登陆就注销，所以一旦杀毒软件报警userinit.exe是病毒，一定要选择忽略!

请按照下面步骤操作将userinit.exe替换回来

首先打开任务管理器 查看是否有userinit.exe进程
有则结束它

从其他相同系统的机器中找一个userinit.exe分别复制到%systemroot%\system32\dllcache和%systemroot%\system32替换原先的文件（注意，先覆盖%systemroot%\system32\dllcache中的）
如果出现文件保护的对话框，点击是即可

四.由于病毒感染htm等网页文件 所以最后一定要使用杀毒软件全盘杀毒或者使用网页感染清除工具处理
推荐使用CSI的iframkill
下载地址：http://www.vaid.cn/blog/read.php?9

另外建议网管屏蔽以下IP地址
58.211.79.209
222.92.41.228
121.10.107.156
61.157.109.222
58.211.79.117

终于分析出来了。

看看。

谢谢`上个星期六也见到这个病毒

**

===============
呵呵，终于出名了，被木马作者注意了。

很好！

这马很无耻，没事感染文件干嘛！！

分析的透彻，那两个驱动又来了。别说查杀，连举报都封闭，存心置人于死地。
第二病毒有登录就注销的，可要好好看看了！
支持！

刚刚实战过这个玩意，一打开IceSword，满屏幕的reg.exe真是让人叹为观止。不过我那个主页没有被修改，不过Internet选项中主页设定同样不能用，隐藏文件注册表项被破坏，组策略管理器不能使用。同样是用XdelBox治掉的。

引用:

【天天泡泡的贴子】刚刚实战过这个玩意，一打开IceSword，满屏幕的reg.exe真是让人叹为观止。不过我那个主页没有被修改，不过Internet选项中主页设定同样不能用，隐藏文件注册表项被破坏，组策略管理器不能使用。同样是用XdelBox治掉的。 ………………

主页有没有被改 主要看那个 IE.txt里面是什么东西 如果是about:blank
当然就没被改咯