近期,又开始流窜rising.exe 和autorun.inf 这两个怪异文件,它们分布在分区根目录, 与前不久的<熊猫毒>相差不差的,但比较难处理.
1、首先，点重启按F8进入安全模式。打开 windows资源管理器，依次点工具－文件夹选项－查看，选上“显示所有文件和文件夹”和“显示系统文件夹的内容”；去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。
提示：在照上面设置后仍然找不到下面指出的病毒文件，或照上面设置失败，请不要关闭资源管理器，打开winrar或冰刃，用winrar或冰刃查找病毒文件。如果还是找不到，可以确定文件不存在。如果能找到，请使用冰刃，点文件（菜单里的）－设置－禁止进线程创建，然后右键点文件，删除，再回资源管理器，在原文件位置建立和病毒文件同名的带扩展名的文件夹免疫。
4、使用费尔强制删除工具，删除以下文件，删除后重建的可以选上抑制文件再次生成后删除。
        C:\WINDOWS\system32\FB000E3A.DLL
        C:\WINDOWS\system32\winform.dll
        C:\WINDOWS\system32\mppds.dll
        C:\WINDOWS\system32\msccrt.dll
        C:\WINDOWS\system32\cmdbcsg.dll
        C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.dll
        C:\WINDOWS\system32\FB000E3A.EXE
<C:\WINDOWS\winform.exe>
<C:\WINDOWS\mppds.exe>
<C:\WINDOWS\msccrt.exe>
<C:\WINDOWS\cmdbcsg.exe>
<C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe>
C:\Autorun.inf
C:\rising.exe
D:\Autorun.inf
D:\rising.exe
E:\Autorun.inf
E:\rising.exe
删除以下目录：
C:\Syswm1i
删除后在c:盘下建立名字为：“Syswm1i”的空文件，防止以上文件夹再次创建。
6、用sreng-点启动项目－点服务－点win32服务应用程序:将以下项删除：
[FB000E3A / FB000E3A][Stopped/Auto Start]
        <C:\WINDOWS\system32\FB000E3A.EXE -service><Microsoft Corporation>
7、用sreng-点启动项目－点注册表: 将以下项的启动删除：
          <333><C:\Syswm1i\svchost.exe>        []
        <winform><C:\WINDOWS\winform.exe>        []
          <mppds><C:\WINDOWS\mppds.exe>        []
          <msccrt><C:\WINDOWS\msccrt.exe>        []
          <cmdbcsg><C:\WINDOWS\cmdbcsg.exe>        []
          <upxdwnd><C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe>        []
9、用sreng- 点系统修复－浏览器加载项-删除以下内容：
[]
        {05fbf39b-2c6b-45e2-8b0d-4e03f37a8dbf} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
        {84d5bfe3-1854-49d9-ae2b-1b294ae19f4f} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
[]
        {05FBF39B-2C6B-45E2-8B0D-4E03F37A8DBF} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
        {84D5BFE3-1854-49D9-AE2B-1B294AE19F4F} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
12、删除ie临时文件：点ie图标－选属性，或打开ie浏览器，点工具－internet选项－删除。
删除\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下所有exe和dll文件。
如果以上提到的文件都已处理后，重起到正常模式看看。
建议如下预防方式:
1.disable<全部驱动自播放>
2.disable <禁止指定程序运行>
3.disable <注册表编辑器>和<命令解释文件cmd.com or cmd.exe>
4.kill 这两个病毒文件, 重新建立同名的空文件.

总结一下,其实对付rising病毒并没有什么很好的方法,因为有些文件名,是随机产生,每台机器并不一样,这就需要一定的时间去判断和鉴别,假如是新手,或者希望快速解决,重做系统也是一种方法,但是在重装前一定要在安全模式下,清空所以盘下的rising.exe文件.

该病毒主要破坏功能有：
    1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”
    2.感染html asp 等文件 插入恶意代码
　　3.通过双击磁盘启动
　　4.下载木马，盗取网游帐号
　　5.修改注册表，使系统无法显示隐藏文件
　　6.通过hook API 函数导致任务管理器中无法看见其进程！（这点十分可恶）！

　　分析报告如下：

[table=500,#ffffff][tr][td] File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区，使得双击磁盘启动
感染除系统分区外的exe文件 使得其公司名全变为番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="hxxp://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系统时间 随机把年份往前调 月，日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe（创建了服务inetsvr）
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
临时文件夹下 释放upxdnd.exe和upxdnd.dll
[/td][/tr][/table]
　　解决办法：

　　安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
　　首先把系统日期 改回来
　　然后打开sreng
　　启动项目 注册表 删除如下项目
[table=500,#ffffff][tr][td] <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> [][/td][/tr][/table]
　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[table=500,#ffffff][tr][td] 139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr[/td][/tr][/table]

把下面的 代码拷入记事本中然后另存为1.reg文件
[table=500,#ffffff][tr][td] Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[/td][/tr][/table]
　　双击1.reg把这个注册表项导入注册表
　　然后双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
　　右键 点击C盘 点击右键菜单中的“打开”打开C盘 （千万不要双击）
　　删除 如下文件
[table=500,#ffffff][tr][td] C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\139CA82A.EXE（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\K117815XXXXX.exe（XXXXX代表随机数字）
清空C:\Documents and Settings\用户名\Local Settings\Temp[/td][/tr][/table]　　右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” （千万不要双击）

　　删除每个分区下面的autorun.inf和rising.exe文件；最后用杀毒软件全盘扫描。