关于WIN32.EXE变态木马下载器的解决办法_病毒查杀

一、WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe
二、运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下;Kernels8.exe自网络下载1.dlb、2.dlb.....等一堆木马到当前用户文件夹中,并自动运行。下载的木马加载运行后,又从网络上下载其它木马/蠕虫。

木马/蠕虫完全下载并植入系统后,SREng日志可见:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows update loader><C:\Windows\xpupdate.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<taskdir><C:\windows\system32\taskdir.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\windows\system32\testtestt.exe> [N/A]
<UpdateService><C:\windows\system32\wservice.exe> [N/A]
<spoolsvv><C:\windows\system32\spoolsvv.exe> [N/A]
<adir><C:\windows\system32\adirss.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTools><C:\windows\system32\testtestt.exe> [N/A]
<_mzu_stonedrv3><C:\windows\system32\_mzu_stonedrv3.exe> [N/A]
<30><C:\windows\system32\30.tmp> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<sqPIftjYG><C:\windows\system32\rflbg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\windows\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
<WinlogonNotify: winsys2freg><C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll> [N/A]
==================================
正在运行的进程
[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] 
[PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\rflbg.dll] [N/A, N/A]
==================================
HOSTS 文件
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 f-secure.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 us.mcafee.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 v5windowsupdate.microsoft.nsatc.net
127.0.0.1 viruslist.com
127.0.0.1 windowsupdate.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.com
127.0.0.1 www.bitdefender.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.ravantivirus.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.windowsupdate.com
127.0.0.1 www3.ca.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 mast.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com

==================================

HijackThis v1.99.1日志可见:

O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe
O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe
O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe
O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp
O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe
O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe
O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe
O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe
O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe
O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe

O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\windows\system32\rflbg.dll

其中,C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll插入winlogon.exe进程。这个.dll处理起来较难。原因在于:
1、这个dll位于隐藏文件夹中,须用IceSword或WINRAR等工具才能看到。
2、因为它插入了winlogon.exe进程,这个dll不能直接删除。
3、不知这堆木马/蠕虫中的哪几个开启了IE进程若干(并无IE窗口打开)。WINDOWS的“任务管理器”被禁;用其它工具,表面上虽可进行结束IE进程的操作,但无论用什么工具结束IE进程后,病毒又试图通过winlogon.exe启动IE进程(SSM可监控到此过程);此时,如果用较低版本的SSM禁止winlogon.exe启动IE进程,则系统崩溃,重启。用最新版本的SSM 2.2.0.595可以禁止winlogon.exe启动IE进程而无副作用。

这堆病毒的处理难点还有:
1、病毒感染系统时,已经在系统相关目录(有.exe文件的目录)以及系统分区以外的其它分区目录(有.exe文件的目录)下释放了大量.t文件。以后,凡运行相关的.exe时,须先执行这个.t文件;此过程可被SSM监控到,也可被SSM禁止。然而,若用SSM禁止这个.t运行,则你要运行的那个.exe也同样被SSM禁止了。中招后用杀毒软件杀毒就是一个例子(卡巴斯基最新病毒库只能检出其中部分病毒)。一旦允许卡巴斯基目录下的.t运行,kav.exe即被感染(MD5值改变)。收拾干净系统后,我只好卸载卡巴斯基,重新安装。我的Tiny防火墙也是同样下场。为了看全这“西洋景”,我关闭了Tiny。染毒/系统重启后,Tiny自动加载时amon.exe被感染。
2、如果没有完全禁止所有的病毒程序运行,就在普通WINDOWS模式下删除木马/蠕虫文件,删除操作时会在同一位置生成数目不等的、文件名后缀为.t的文件,文件名为随机排列的8个小写英文字母。

三、我的处理办法:
1、用最新版SSM2.2结束上述病毒进程,并将其归入blocked组。将SSM设置为“自动运行”。
2、重启系统。
3、重启系统后,SSM还报病毒程序试图加载(木马通过SSM安装文件夹中的.t实现启动加载),可用SSM禁止它,并归入blocked组。
4、删除病毒的加载项(见前面的SREng以及HijackThis日志)。
5、显示隐藏文件。删除病毒文件(图1-图6)。要删除的病毒文件太多,做为例子,图中显示的只是这堆病毒中的主要文件以及删除病毒文件时生成的部分.t文件(如果将删除到回收站的病毒文件全部显示出来,则需要18张图)。
染毒后生成的.t文件的多寡目及分布范围取决于(1)系统启动时加载运行的程序数目;(2)染毒后未处理干净前在WINDOWS下操作步骤的多寡;(3)系统分区以外的其它分区各目录下的文件夹中是否包含.exe文件(文件夹中若不包含.exe文件,则无病毒.t文件生成)。
6、修复HOSTS文件。
7、卸载、重新安装被感染的应用程序(MD5值改变的那些)。

图1

时间: 2024-10-24 15:46:47

关于WIN32.EXE变态木马下载器的解决办法_病毒查杀的相关文章

login.exe HGFS木马下载器的手动查杀方法_病毒查杀

样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

关于nttstat.exe的解决办法_病毒查杀

File size: 57108 bytes MD5: 9207fdee2f25a834d4e7151475fc7f45 SHA1: 37e51a5632fd615432840fd480abd9ba175a0505 病毒名称:Trojan-Downloader.Win32.QQHelper.vn      <Kaspersky命名> 运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下 Code: %SYSTEMroot%\nttstat.exe%WINDIR%\nt

流氓软件pchome\.setupf、realupdate.exe的解决办法_病毒查杀

本篇日志是从求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版       病毒文件及文件夹         %windir%\winamps.exe       %windir%\realupdate.exe       %windir%\POPNTS.DLL       %windir%\ScNotify.dll       %system%\{pchome}\.setupf\ 添

odbcasvc.exe导致CPU使用100%问题的解决办法_病毒查杀

1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.   清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删除工具  PowerRMV 下载地址:  http://post.baidu

emapicn.exe,winpac.exe恶意插件疯弹广告解决方法_病毒查杀

1.运行强制删除工具PowerRMV 下载地址:down.45it.com 分别复制下面的文件(包括完整的路径) ,勾选"清除,并抑止文件再次生成",点开始[有找不到提示的请忽略错误继续] d:\program files\common files\sevcha\emapicn.exe d:\program files\common files\sevcha\winpac.exe 2.删除重启后使用SREng(可到down.45it.com下载): 删除下面的服务(运行SRENG---

使用仙剑奇侠传四算号器不小心中了广告插件的解决办法_病毒查杀

仙四出来了,可恨的居然有人-- 删除方法: 1,IE工具-管理加载项,把popblock...(大概是这个名)那项禁用 2,关闭所有IE窗口 3,开始-运行-regedit,查找wmvploc,把找到的键值的父项(就是很多字母数字的那种项)删除(新手不确定的话慎用!删错可能系统崩溃),有两处. 4,在系统文件夹下删除wmvploc.dll 等免CD补丁中-- 附EMULE下载地址: ed2k://|file|%5B%E4%BB%99%E5%89%91%E5%A5%87%E4%BE%A0%E4%B

威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法_病毒查杀

威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp

iexplore.exe在打开网页时CPU使用会100%的解决方法_病毒查杀

CPU占用100%解决办法  一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了.  当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题:如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者 baidu 搜.有时只结束是没用的,在 xp下我们可以结合msconfig里的启动项,把一些不

关于winasse.exe生成Win59.exe等病毒的解决方法_病毒查杀

卡巴已经提示了一早上,一开始卡巴还有"删除"的项目,到后来就只有"恢复"和"跳过"了,这个病毒,从win3.exe一直在变,只要你按跳过,20秒不到就弹出下一个组合.晕倒了啊...有图片,这个是什么病毒怎么查杀?网上查了也没有一个解决方法.高手帮忙.谢 复制代码 代码如下: HijackThis_zww汉化版扫描日志 V1.99.1  保存于 11:01:38, 日期 2006-9-12  操作系统: Windows XP SP2 (WinNT