|
以下内容转载自http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5e46f4b4943b8b728ad4b271.html,原帖作者享有版权。
PS:七位的也可以看看,当中也有七位病毒,为了尊重版权,对原文仅修改了一个错别字而已。文中所有winnt文件夹在XP系统中为windows文件夹。
小白先看后面那段文字,修复映像劫持。或者利用附件中的Autoruns工具修复。然后再开杀软尝试清除
病毒信息:
File size: 35708 bytes
MD5: 53339692763657ccceec545cbdca78c3
SHA1: 88764194e3f12edbc9dfa7b3c59690a2fbd455f4
========================================
(运行病毒,是个8位随机字母)行为:
%systemroot%\system\下释放三个8位随机字母(A-Z).exe,是木马下载器,下载一大推乱乱D东西,乱七八糟的,乱插进程。一片狼藉...(还有个是meex.com)
下载下来的木马群是EXE,在%windir%下,加入注册表RUN启动项,每个都释放一个同名的DLL,插进程
遍历分区在所有分区下生成autorun.inf和7位随机字母病毒(EXE),达到U盘传播和双击分区激活病毒的效果.
还利用了比较古老的技术-进程守护,2个病毒进程"相濡以沫"(讽刺下),其中一个病毒被结束的话,另一个马上将其启动生成,并调用net.exe使用stop SharedAccess命令关闭共享连接和防火墙服务(察觉到危险)。
使用IFEO重定向劫持,几乎所有安全工具都遭到劫持。。
(小提示:对于安全工具,我们先改名再运行)
下载在%systemroot%\system\其中一个病毒(8位随机字母)隔60秒检测网络连接,并下载病毒,下载的病毒有例如TDown9.exe名字的,然后释放一些乱七八糟的东西
=========================================
解决方法:
(这种病毒太值得B4了,没有测试清除方法,对方抓药的,如果没有成功的话,请告诉我)
操作前全面清理临时文件(尽量用软件清理),关闭一切不必要的进程,断开网络
下载的工具有:
冰刃、SREng、PowerRMV 、autoruns
http://free.ys168.com/?gudugengkekao这里下载(乱乱的,懒的整理- -)
首先打开PowerRMV ,填入:
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
(有几个分区,填几次)和autorun.inf指向的8位随机字母.exe
(填入后PowerRMV不要关闭)
然后运行autoruns(记住!!先把autoruns改名!!!不然又等于激活病毒了,可以改为123.exe等),它会列出所有“镜像劫持的”项目(IFEO),不要嫌麻烦,挨个删。。
删除后打开冰刃,左上角设置,文件-设置-勾选“禁止进线程创建”-确定
结束病毒进程(2个8位字母.exe),然后在冰刃里选项-点“文件”,删除(也可以PowerRMV删除)下面的:
C:\WINNT\system32\8位随机字母.exe(有3个,注意创建日期)
C:\WINNT\system32\meex.com
C:\WINNT\cmdbcs.exe
C:\WINNT\mppds.exe
C:\WINNT\upxdnd.exe
C:\WINNT\system32\cmdbcs.dll
C:\WINNT\system32\mh100.exe
C:\WINNT\system32\mppds.dll
C:\WINNT\system32\RAVWL516.dll
C:\WINNT\system32\ReadDown.txt
C:\WINNT\system32\upxdnd.dll
还有例如TDown1.exe名字的(是木马释放器),都删除掉(可以先看下创建的日期)
然后设置冰刃,去掉"禁止进线程创建",后打开SREng,删除下面注册表:
<exkataj><C:\winnt\system32\cbkdkiw.exe> []
<wpqggej><C:\winnt\system32\dnierjk.exe> []
<cmdbcs><C:\winnt\cmdbcs.exe> []
<mppds><C:\winnt\mppds.exe> []
<upxdnd><C:\winnt\upxdnd.exe> []
服务:
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\admin\LOCALS~1\Temp\RAVWL.EXE><N/A>
开始-运行-regedit-查找SysWFGQQ2.dll,有找到的话删除.
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
值CheckedValue,修改为"1"
然后升级杀软,全盘再扫描下.........
收工..
以下内容非转载
附:常见杀软、清理工具无法正常打开(映像劫持)的解决方法
将注册表编辑器(C:\WINDOWS\regedit.exe)文件重命名(比如111.exe)后双击打开(不知道冰刃和Registry Workshop能不能正常使用 ),定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],若存在以下项目则删除
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
avp.exe
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe
删除之后别忘了把注册表编辑器改回regedit.exe
PS:如果发现还有不能运行的正常程序,就可以在这里找找有没有程序文件名,有的话就删除
附件当中有常用DIY工具
中了此毒的坛友麻烦将SRE扫描日志和病毒样本传上来,方便大家研究。在此先XXL
[ 本帖最后由 xffsfy 于 2007-5-31 20:07 编辑 ] |
-
-
KillBox.rar
30.22 KB, 下载次数: 76
强制删除文件
-
-
PowerRmv.rar
86.58 KB, 下载次数: 85
强制删除文件
-
-
Unlocker 1.8.5.rar
161.66 KB, 下载次数: 74
查看当前文件所属进程
-
-
Autoruns 8.61.rar
288.79 KB, 下载次数: 114
启动项检查
-
-
System Repair Engineer 2.4.12.806.part1.rar
500 KB, 下载次数: 75
系统检测、修复
-
-
System Repair Engineer 2.4.12.806.part2.rar
96.72 KB, 下载次数: 77
-
-
IceSword 1.20.part1.rar
500 KB, 下载次数: 65
强制中止任意进程的“冰刃”
-
-
IceSword 1.20.part2.rar
500 KB, 下载次数: 73
-
-
IceSword 1.20.part3.rar
500 KB, 下载次数: 70
-
-
IceSword 1.20.part4.rar
500 KB, 下载次数: 77
-
-
IceSword 1.20.part5.rar
111.28 KB, 下载次数: 75
-
-
费尔木马强力清除助手.rar
161.27 KB, 下载次数: 108
取自于费尔杀软的木马抑制工具
评分
-
查看全部评分
|