请大牛们帮忙解决这个病毒

显示全部楼层 · 发表于 2014-6-13 18:09:12

请大牛们帮忙解决这个病毒，这个病毒并不劫持杀毒软件，并且机子中了毒也可以杀掉，但我想试试手杀，没有成功，请大牛们帮忙想想办法。
http://yunpan.cn/QTeIJ6FqVsV3D 访问密码 74ff

显示全部楼层 · 发表于 2014-6-13 18:24:53

这，，，，

显示全部楼层 · 发表于 2014-6-13 18:31:26

压缩包加密上传到百度网盘吧

显示全部楼层 · 发表于 2014-6-13 18:37:24

本帖最后由 zhou0197 于 2014-6-13 19:01 编辑

2014-6-13 18:29:24 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\zhou\桌面\fallen angel.exe
命令行: "C:\Documents and Settings\zhou\桌面\Fallen Angel.exe"
规则: [应用程序]*

2014-6-13 18:29:25 创建文件允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: C:\zhuiluodetianshi
规则: [文件]?:\

2014-6-13 18:29:25 创建文件允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: C:\Windows\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:25 修改注册表值允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360.
值: C:\Windows\svchest.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2014-6-13 18:29:25 创建文件允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: C:\Windows\svchest.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:26 创建新进程允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: c:\windows\svchest.exe
命令行: "C:\Windows\svchest.exe"
规则: [应用程序]*

2014-6-13 18:29:26 删除注册表值允许
进程: c:\documents and settings\zhou\桌面\fallen angel.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2014-6-13 18:29:26 修改文件允许
进程: c:\windows\svchest.exe
目标: C:\Windows\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:27 删除注册表值允许
进程: c:\windows\svchest.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2014-6-13 18:29:27 设置文件隐藏属性允许
进程: c:\windows\svchest.exe
目标: C:\WINDOWS\svchest.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:27 结束其他进程允许
进程: c:\windows\svchest.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2014-6-13 18:29:28 创建文件允许
进程: c:\windows\svchest.exe
目标: C:\Windows\svchnst.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:28 创建新进程允许
进程: c:\windows\svchest.exe
目标: c:\windows\svchnst.exe
命令行: "C:\Windows\svchnst.exe"
规则: [应用程序]*

2014-6-13 18:29:28 删除文件允许
进程: c:\windows\svchest.exe
目标: C:\WINDOWS\explorer.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:29 创建文件允许
进程: c:\windows\svchnst.exe
目标: C:\WINDOWS\Hook.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2014-6-13 18:29:29 创建文件允许
进程: c:\windows\svchnst.exe
目标: C:\tianshideshouhu
规则: [文件]?:\

2014-6-13 18:29:29 创建文件允许
进程: c:\windows\svchnst.exe
目标: C:\Windows\LianXue_SuperKill.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2014-6-13 18:29:29 创建新进程允许
进程: c:\windows\svchest.exe
目标: c:\windows\explorer.exe
命令行: "C:\Windows\explorer.exe"
规则: [应用程序]*

2014-6-13 18:29:30 安装驱动程序或服务允许
进程: c:\windows\svchnst.exe
目标: C:\Windows\LianXue_SuperKill.sys
规则: [应用程序]*

2014-6-13 18:29:30 向其他进程发送消息允许
进程: c:\windows\svchest.exe
目标: c:\windows\svchnst.exe
消息: WM_GETTEXTLENGTH
规则: [应用程序]*

2014-6-13 18:29:30 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LianXue_SuperKill
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2014-6-13 18:29:30 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LianXue_SuperKill\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2014-6-13 18:29:30 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LianXue_SuperKill\ImagePath
值: \??\C:\Windows\LianXue_SuperKill.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2014-6-13 18:29:31 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\lianxue_superkill.sys
规则: [应用程序]c:\windows\system32\services.exe

2014-6-13 18:29:31 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\zhou\local settings\temp\virus.exe
命令行: "C:\DOCUME~1\zhou\LOCALS~1\Temp\virus.exe"
规则: [应用程序]*

2014-6-13 18:29:31 安装全局消息钩子允许
进程: c:\windows\svchnst.exe
目标: c:\windows\hook.dll
钩子类型: WH_GETMESSAGE
规则: [应用程序]*

2014-6-13 18:29:32 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\zhou\local settings\temp\explorer.exe
命令行: "C:\DOCUME~1\zhou\LOCALS~1\Temp\explorer.exe"
规则: [应用程序]*

2014-6-13 18:29:33 创建文件允许
进程: c:\windows\svchnst.exe
目标: C:\Windows\KillFile.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2014-6-13 18:29:34 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillFile
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2014-6-13 18:29:34 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\explorer.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2014-6-13 18:29:34 修改注册表值允许
进程: c:\documents and settings\zhou\local settings\temp\explorer.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
值: C:\Documents and Settings\zhou\「开始」菜单\程序\启动
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup

2014-6-13 18:29:34 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillFile\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2014-6-13 18:29:35 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KillFile\ImagePath
值: \??\C:\Windows\KillFile.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2014-6-13 18:29:35 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\killfile.sys
规则: [应用程序]c:\windows\system32\services.exe

2014-6-13 18:29:35 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\documents and settings\zhou\local settings\temp\explorer.exe
句柄: (Thread) c:\documents and settings\zhou\local settings\temp\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2014-6-13 18:29:35 创建文件允许
进程: c:\windows\svchnst.exe
目标: C:\Fallen angel virus, QQ953452766
规则: [文件]?:\

2014-6-13 18:29:36 修改注册表值允许
进程: c:\documents and settings\zhou\local settings\temp\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup

2014-6-13 18:29:36 向其他进程发送消息允许
进程: c:\windows\svchnst.exe
目标: c:\windows\svchest.exe
消息: WM_GETTEXTLENGTH
规则: [应用程序]*

2014-6-13 18:29:36 修改注册表值允许
进程: c:\documents and settings\zhou\local settings\temp\explorer.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\Position
值: 2c 00 00 00 a0 00 00 00 00 00 00 00 82 02 00 00 c2 01 00 00 00 00 00 00 01 00 00 00 01 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\*

2014-6-13 18:29:37 创建新进程允许
进程: c:\documents and settings\zhou\local settings\temp\explorer.exe
目标: c:\windows\system32\verclsid.exe
命令行: /S /C {2559A1F4-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
规则: [应用程序]*

2014-6-13 18:29:37 创建新进程允许
进程: c:\windows\svchest.exe
目标: c:\windows\system32\svchost.exe
命令行: C:\Windows\system32\svchost.exe
规则: [应用程序]*

2014-6-13 18:29:37 修改其他进程的内存允许
进程: c:\windows\svchest.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2014-6-13 18:29:37 修改其他进程的线程允许
进程: c:\windows\svchest.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2014-6-13 18:29:39 向其他进程发送消息允许
进程: c:\program files\shadow defender\defenderdaemon.exe
目标: c:\documents and settings\zhou\local settings\temp\explorer.exe
消息: WM_COPYDATA
规则: [应用程序]*

2014-6-13 18:29:41 从其他进程复制句柄允许
进程: c:\windows\system32\services.exe
目标: c:\documents and settings\zhou\local settings\temp\explorer.exe
句柄: (File) \Device\NTPNP_PCI0042\wave
规则: [应用程序]c:\windows\system32\services.exe

2014-6-13 18:30:19 创建新进程允许
进程: c:\documents and settings\zhou\local settings\temp\explorer.exe
目标: c:\windows\system32\sndvol32.exe
命令行: "C:\WINDOWS\system32\SNDVOL32.EXE" /t
规则: [应用程序]*

2014-6-13 18:30:19 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\sndvol32.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000
规则: [应用程序]c:\windows\system32\svchost.exe

2014-6-13 18:30:20 从其他进程复制句柄允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\sndvol32.exe
句柄: (File) \Device\NTPNP_PCI0042\wave
规则: [应用程序]c:\windows\system32\services.exe

动作略多…………创建文件，替换explorer.exe，加驱动，破坏安全模式…………

确定要手杀吗？

火眼：http://fireeye.ijinshan.com/anal ... 259667a073c466#full

显示全部楼层 · 发表于 2014-6-13 19:37:56

不提前看样本的行为，盲处理

染毒后，打开xuetr,勾选禁止创建新进程

然后看异常进程

explorer的位置变了，这里先不管，然后结束病毒进程

然后到%temp%下复制正常的explorer到桌面上备用

接着到C盘windows目录下删除病毒文件

把正常的explorer复制到c:\windows下

再看下异常驱动，如果没有挂载钩子那就直接卸载驱动，如果挂了，先摘掉钩子

接着结束异常路径的explorer

在xuetr配置里去掉创建新进程的勾

打开系统任务管理器，新建explorer进程

最后看下启动项有没异常的，有删除就行

到此病毒处理结束，如果发现进不了安全模式，这直接修复就行（这个一般中毒当时发现不了）

显示全部楼层 · 发表于 2014-6-14 09:00:08

因为手杀很麻烦，所以我一般是提取可疑文件发给厂商，等保护定义出来，一次性移除。

显示全部楼层 · 发表于 2014-6-14 09:09:13

vm001 发表于 2014-6-13 19:37
不提前看样本的行为，盲处理

染毒后，打开xuetr,勾选禁止创建新进程

技术高超，佩服

[病毒样本] 请大牛们帮忙解决这个病毒

本帖子中包含更多资源

本帖子中包含更多资源

评分