盗版CAD2007自动下载病毒

盗版CAD2007自动下载病毒

通过数据报拦截分析得知，目前流行的盗版CAD2007在软件启动时，通过软件不明控件首先下载

http://dw1.azm8.com/ctacd.rar
再下载
http://jx.kkwyx.com/vct/vel15.rar
http://jx.kkwyx.com/vct/vel16.rar
http://jx.kkwyx.com/vct/vel17.rar
http://jx.kkwyx.com/vct/vel18.rar
http://jx.kkwyx.com/vct/vel19.rar
http://jx.kkwyx.com/vct/vel20.rar
http://jx.kkwyx.com/vct/vel21.rar

http://jx.kkwyx.com/vct/udw.rar
http://jx.kkwyx.com/vct/bk2.rar
http://jx.kkwyx.com/vct/set.rar

完成上述的下载后会释放文件
C:\windows\system32\fsutk.dll
C:\windows\system32\liprip.dll
C:\windows\kentgo.log
C:\windows\help\fkhfu.chi
C:\windows\inf\iplbk.inf
卡巴斯基最新病毒库不能查杀彻底、360安全卫士也不能彻底清除，进入DOS删除以上文件
开机之后再次感染，应该还后其他程序.
中毒之后卡巴斯基几乎所有的监控都被关闭，发现病毒却不能彻底查杀，导致电脑反复重启。

其中相关的网站为
-------------------------------------------------------------------------
www.kkwyx.com >> 202.105.31.90
www.azm8.com >> 202.105.31.90
他们的服务器是

广东省佛山市电信(顺德区)
-------------------------------------------------------------
病毒十分猖獗，恳请各个杀毒软件的技术人员通过技术手段或者法律手段捣毁这个恶意服务器。
（以上RAR文件经测试为可执行文件更改的扩展名？！）

以上数据为2008年5月9日截获数据，修改host方式禁止访问该网站好像没有效果，网关拦截也不是很明显
卡巴斯基能检测到不能查杀,安全模式杀毒也是失败

------------------------------------

感谢x2yangling兄弟的回答,你说的方法我已经尝试过了,最近新安装的CAD电脑中可能出现了新的恶意插件好像还调用support文件夹中的另外一个文件,该文件中的代码包括各个搜索引擎的相关代码,不知道什么意思,现在最新的恶意插件已经会自动替换以前的恶意插件~变得很难查杀
最佳答案的位子先留着,看看有没有更好的解决办法,现在公司的5台电脑已经OVER了.

这是DC2007软件中自带的恶意插件，你可以尝试一下这样解决
LinkMedia插件的完美清除方法(重新开启cad2007也不会重

复感染）2007-11-27 22:24LinkMedia插件的清除(重新开

启cad2007也未重复感染）

1.打开360安全卫士，查到linkmedia和mssckets插件后，

清除，会提示重启，选择稍后重启。
2.在cad安装目录下找到whohasres.dll和whohas.arx文件

，和在Support目录下的dfst.dll文件，删除。然后用记事

本新建三个同名（含扩展名）的空文件（这一点很重要，

不然运行CAD帮助时会提示安装）。
3.在windows目录下找到iprep.exe文件，拖入新建文件夹1

，在windows/system32文件夹下找到fsutk.dll和

liprip.dll和rimon.dll这三个文件(也可能只有两个)，拖

入新建文件夹2。
4.重启电脑，按F8，选择进入安全模式，删除新建文件夹1

和新建文件夹2，运行360安全卫士扫查，重启。

也可用Unlock在不重启机子的情况下删除三个DLL文件。

分析：D版CAD会带了这个广告木马插件，即时删除了，只

要一运行CAD就会重新安装插件，所以我们在清除

LinkMedia插件后，还必须删除CAD所带的三个广告插件，

但是CAD会提示安装不全，要安装，比较烦人，故我们删除

三个文件后再建立同名的空文件，以欺骗CAD程序。

1.打开360安全卫士，查到linkmedia和mssckets插件后，清除，会提示重启，选择稍后重启。
2.在cad安装目录下找到whohasres.dll和whohas.arx文件，和在Support目录下的dfst.dll文件，删除。然后用记事本新建三个同名（含扩展名）的空文件（这一点很重要，不然运行CAD帮助时会提示安装）。
3.在windows目录下找到iprep.exe文件，拖入新建文件夹1，在windows/system32文件夹下找到fsutk.dll和liprip.dll和rimon.dll这三个文件(也可能只有两个)，拖入新建文件夹2。
4.重启电脑，按F8，选择进入安全模式，删除新建文件夹1和新建文件夹2，运行360安全卫士扫查，重启。也可用Unlock在不重启机子的情况下删除三个DLL文件。分析：D版CAD会带了这个广告木马插件，即时删除了，只要一运行CAD就会重新安装插件，所以我们在清除LinkMedia插件后，还必须删除CAD所带的三个广告插件，但是CAD会提示安装不全，要安装，比较烦人，故我们删除三个文件后再建立同名的空文件，以欺骗CAD程序。
确实有效，也不复发。
也可以不进入安全模式，用unlocker1.8.7解锁工具给三个DLL文件解锁就可以删掉了。希望回答对你有所帮助
如果不行的话你可以用解锁工具把C盘的这几个文件都删掉。
C:\windows\system32\fsutk.dll
C:\windows\system32\liprip.dll
C:\windows\kentgo.log
C:\windows\help\fkhfu.chi
C:\windows\inf\iplbk.inf 再不行的话我也解决不了，以后又解决的方法在一起探讨

参考资料：以前的哥们教的

温馨提示：答案为网友推荐，仅供参考

当前网址：http://66.wendadaohang.com/zd/spDp92Ui.html