求卡巴5杀Trojan-Downloader.Win32.Agent.bmc 方法

显示全部楼层 · 发表于 2007-6-8 11:38:59

中了Win32.Spy 这个东西，卡巴5可以检查出来但杀不了请高手帮忙解决
这是一个windows平台的感染型病毒，感染.exe可执行文件，该病毒会收集用户系统相关信息并提交到制定的网址。

1、释放病毒文件到如下路径并设置其属性为系统、隐藏、只读：
%system%\d9dx.dll
%system%\d3d8xof.dll

2、修该注册表，添加如下注册表项：

[HKCR\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32]
(Default) = "C:\WINDOWS\system32\d3d8xof.dll"

[HKCR\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32]
ThreadingModel = "Apartment"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
DirectX = "{DA1910DE-AA86-4ED0-874B-2924E38BAD99}"

[HKLM\Software\Google]
CheckBKFlags = 随机值

3、创建如下互斥体：
ACPI#PNPDODO#1#Amd_DL5
__DL5XYEX__
__DL_CORE5_MUTEX__

4、搜索explorer.exe进程并注入，创建两个病毒线程：

线程1：
a、创建浏览器进程，注入病毒代码，收集用户信息，提交到如下网址之一：
h**p://me**age.microsofte.in/counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d
h**p://www.im**0rldwide.com/DL/Counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d

b、从入下网址之一读取配置信息，自更新文件：
h**p://www.im**0rldwide.com/DL/1.dat
h**p://me**age.microsofte.in/updata.dlm

线程2：遍历磁盘，感染文件名中含有.exe的可执行文件，但不感染符合如下条件的文件：
路径中含有如下字符串：
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\

[ 本帖最后由钻石于 2007-6-12 08:28 编辑 ]

显示全部楼层 · 发表于 2007-6-8 11:42:41

你都知道的这么详细，还用求助吗，自己删除就行

显示全部楼层 · 发表于 2007-6-8 11:44:38

是啊冰刃之类的强制删除工具很多啊自己动手自力更生吗哈哈哈
最好到安全模式删除还有关闭系统还原清理临时文件！！

显示全部楼层 · 发表于 2007-6-8 12:25:13

我现在的系统进不了安全模式啊！

显示全部楼层 · 发表于 2007-6-8 12:35:18

直接用冰刃或是一些强制删除工具在普通模式下删除就行了阿。

ps：版主评价的太精辟了！

显示全部楼层 · 发表于 2007-6-8 13:45:30

进不了安全模式的话你可以用SRENG修复啊有修复安全模式的！！！

显示全部楼层 · 发表于 2007-6-9 08:58:18

进入安全模式下使用卡巴5 杀c盘可以查找出木马，但重新启动计算机后木马怡然存在，请高手帮忙解决！

显示全部楼层 · 发表于 2007-6-11 08:38:35

就剩下trojan-downloader.win32.Agent.bmc这个病毒删除不了。
发现这个病毒是写入到explorer进程的，核心是一个名为kumiq.dll的组件（这个组件的名字不一定，也可能你电脑上是别的名字），这个组件是在windows/system32目录下。由于被explorer调用，所以无法删除，因为explorer是随系统启动就会运行的，因而进入安全模式也没用。
希望高手告诉手工杀木马的方法

显示全部楼层 · 发表于 2007-6-11 08:55:38

用冰刃可以强制卸载并删除kumiq.dll

显示全部楼层 · 发表于 2007-6-11 09:29:59

安全模式下删完kumiq.dll ，从启动计算机后那个该死的d9dx.dll
又出现了，
求个可以跟踪d9dx.dll文件被那个进城调用的软件！