Pegefile.pif及其下载的木马群的处理

显示全部楼层 · 发表于 2007-12-13 02:34:58

作者：清新阳光                                           ( http://hi.baidu.com/newcenturysun)
日期：2007/08/19                               (转载请保留此申明)
Pegefile.pif很早就出现了，不过一直没写过，这回写下。
File: PegeFile.pif
Size: 28708 bytes
MD5: E25E943A9281DA3E4260E1D08BF69F26
SHA1: 823420A3760E30915AEA2A272A5A9C81ECDB2393
CRC32: AFF7FD61
运行后生成C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
NewTemp.dll
添加注册表键值HKLM\SOFTWARE\Classes\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266} 指向该文件达到开机启动目的
NewTemp.dll试图通过挂钩WH_GETMESSAGE函数监控发送到消息队列的消息
每个分区生成PegeFile.pif和autorun.inf
控制Explorer连接网络下载木马和病毒
读取http://xxxxx.cn/1.txt下载配置文件
下载http://xxxxx.cn/arp/1.exe～19.exe
和http://xxxx.net/new/system22.exe到%temp%文件夹
下载来的威金还会下载一些病毒下来不过和上面的有些是相同的
木马植入完毕以后sreng如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
   <cmdbcs><C:\WINDOWS\cmdbcs.exe> []
   <load><C:\WINDOWS\uninstall\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
   <MSDEG32><LYLoader.exe> []
   <MSDWG32><LYLoadbr.exe> [N/A]
   <MSDCG32    ><LYLeador.exe> [N/A]
   <MSDOG32><LYLoador.exe> [N/A]
   <MSDSG32><LYLoadar.exe> [N/A]
   <MSDMG32><LYLoadmr.exe> [N/A]
   <MSDHG32><LYLoadhr.exe> [N/A]
   <MSDQG32><LYLoadqr.exe> [N/A]
   <visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   <AppInit_DLLs><wddpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
   <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> []
   <{5562452F-FA36-BA4F-892A-FF5FBBAC5315}><C:\WINDOWS\system32\myepri.dll> []
   <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
   <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll> []
   <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll> []
   <{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll> []
   <{64123FF1-8371-9834-9021-184518451FA6}><C:\WINDOWS\system32\qjfpri.dll> []
   <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll> []
   <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll> []
   <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll> []
清除办法：
1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
   <cmdbcs><C:\WINDOWS\cmdbcs.exe> []
   <load><C:\WINDOWS\uninstall\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
   <MSDEG32><LYLoader.exe> []
   <MSDWG32><LYLoadbr.exe> [N/A]
   <MSDCG32    ><LYLeador.exe> [N/A]
   <MSDOG32><LYLoador.exe> [N/A]
   <MSDSG32><LYLoadar.exe> [N/A]
   <MSDMG32><LYLoadmr.exe> [N/A]
   <MSDHG32><LYLoadhr.exe> [N/A]
   <MSDQG32><LYLoadqr.exe> [N/A]
   <visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
   <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> []
2.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
从左边的资源管理器进入C盘
删除如下文件C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\1Sy.exe~20Sy.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\kulionwm.dll
C:\WINDOWS\video.dll
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\winwm.exe
C:\WINDOWS\wmsj.exe
C:\pegefile.pif
C:\autorun.inf
单击菜单栏搜索按钮打开C:\windows\system32文件夹
全部或部分文件名中输入*pri.dll
更多高级选项钩选搜索隐藏的文件和文件夹
右键分别把这些文件重命名命名的名字自己要记住最好有规律
所有文件必须都要重命名
然后点击开始新的搜索
全部或部分文件名中输入*ini.dll 把找到的文件都重命名
然后点击开始新的搜索
全部或部分文件名中输入*ins.exe 把找到的文件都重命名

3. 重启计算机
启动项目注册表删除如下项目
   <{5562452F-FA36-BA4F-892A-FF5FBBAC5315}><C:\WINDOWS\system32\myepri.dll> []
   <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
   <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll> []
   <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll> []
   <{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll> []
   <{64123FF1-8371-9834-9021-184518451FA6}><C:\WINDOWS\system32\qjfpri.dll> []
   <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll> []
   <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll> []
   <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll> []
双击AppInit_DLLs 把其键值改为空
删除所有你刚才重命名的那些文件
然后点击菜单栏下方的文件夹按钮从左边的资源管理器进入其他盘
删除pegefile.pif和autorun.inf
4.下载威金专杀全盘杀毒
另外：
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除把Timplatfrom.exe重命名为Timplatform.exe