IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法_病毒查杀

File: IO.pif
Size: 19456 bytes
MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32: 9822E714

生成如下文件:
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
在每个分区下面生成一个autorun.inf和IO.pif
达到通过U盘等移动存储传播的目的

调用Cmd利用net stop命令停止以下服务
mcshield
Norton Antivirus Auto Protect Service
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

结束如下进程
regedit.exe
taskgmr.exe
360tray.exe
360safe.exe
噬菌体
木马克星
WoptiClean.exe
EGHOST.exe
Iparmor.exe
MAILMON.EXE
KAVPFW.exe
RogueCleaner.exe

顺序查找以下注册表键值
?.S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General的AppPath键值
SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd里面的Path键值 
?.Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE
?.Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
?.Software\TENCENT\PLATFORM_TYPE_LIST\1 的TypePath键值
以分别获得网际快车,迅雷,MSN,IE,QQ的安装路径
如果查找到了那么即启动相应的文件
(查找方式为顺序查找,如果查找到安装了网际快车,则启动网际快车,不再往下查找)

启动相应的文件以后把自身注入到该进程空间之中,连接网络,下载木马。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%Program Files%\Internet Explorer\PLUGINS下面
命名为随机8位字母和数字组合。

木马植入完毕以后主要生成如下文件(包括但不限于)
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat(*为随机两位字母)
%Program Files%\NetMeeting\rav*mon.exe(*为随机两位字母)
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe
以及以下这些随机7位字母组合文件名的一些盗号木马
%system32%\avwlain.dll
%system32%\avwlamn.dll
%system32%\avwlast.exe
%system32%\avzxain.dll
%system32%\avzxamn.dll
%system32%\avzxast.exe
%system32%\kaqhacs.dll
%system32%\kaqhcaz.exe
%system32%\kaqhczy.dll
%system32%\kvdxacf.dll
%system32%\kvdxbis.exe
%system32%\kvdxbma.dll
%system32%\kvmxacf.dll
%system32%\kvmxcis.exe
%system32%\kvmxcma.dll
%system32%\rsjzafg.dll
%system32%\rsjzapm.dll
%system32%\rsjzasp.exe
%system32%\rsmyafg.dll
%system32%\rsmyapm.dll
%system32%\rsmyasp.exe

其中的盗号木马会盗取如下网络游戏帐号和密码(包括但不限于)
大话西游II
魔域
完美世界
机战
华夏
魔兽世界
问道
征途
热血江湖
奇迹世界
QQ

下载的木马有禁止自动更新和微软的防火墙的作用
并且会把时间修改成2099年1月1日

sreng日志反映如下(本文转载时略,详细见下文)

清除办法:
一、清除病毒主程序:

首先把系统时间改正确
下载Sreng,下载地址:down.45it.com
重启计算机进入安全模式(重启系统长按F8直到出现提示,然后选择进入安全模式)

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是” 然后确定

右键点击C盘(系统盘) 点击右键菜单中的“打开” 打开磁盘

删除
C:\Io.pif
C:\autorun.inf
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
同样右键点击其他盘 点击右键菜单中的“打开” 打开磁盘
删除Io.pif和autorun.inf

二、清除下载的木马
1.还是在安全模式下
打开sreng 
启动项目      注册表 删除如下项目 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
        <w><%SystemRoot%\WinRaR.exe>      [N/A]
        <wm><%SystemRoot%\winlogor.exe>      []
        <wl><%SystemRoot%\intent.exe>      [N/A]
        <mm><%SystemRoot%\sourro.exe>      []
        <zx><%SystemRoot%\winadr.exe>      [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>      []
        <avpms><C:\Program Files\NetMeeting\avpms.exe>      []
        <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>      []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是” 然后确定
删除如下文件%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat(*为随机两位字母)
%Program Files%\NetMeeting\rav*mon.exe(*为随机两位字母)
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe

2.清除随机7位的dll盗号木马
(其实这些就是*pri.dll的变种,仍可以采用重命名方法清除)
仍然是在安全模式下
打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

打开C:\windows\system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll

右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律 
重启计算机后

打开sreng
启动项目      注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>      []
        <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>      []
        <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>      []
        <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>      []
        <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>      []
        <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>      []
        <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>      []
双击AppInit_DLLs把器键值改为空

并删除刚才重命名的那些dll文件

注:%System32%是一个可变路径。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

%SystemRoot%/          WINDODWS所在目录

%ProgramFiles%\         系统程序默认安装目录

时间: 2024-07-29 12:09:51

IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法_病毒查杀的相关文章

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法_病毒查杀

通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

木马程序Trojan-Spy.Win32.Agent.cfu清除方法_病毒查杀

木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注

威金变种病毒的查杀方法_病毒查杀

近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题.  今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考.  清除病毒的步骤如下:  一.结束病毒进程,删除病毒的启动项. 1.开机按F8键

威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法_病毒查杀

威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp

u盘病毒清除 Discovery.exe查杀方法_病毒查杀

这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

最近流行的ARP病毒彻底清除方法_病毒查杀

前几天回学校交论文,好多同学的电脑上都中了这号病毒,卡巴,瑞星也老杀不干净,后来大家通过上网找资料和请教一些高手,终于解决了,现在把经验同大家分享: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序&qu

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3