%systemroot%\system32\AUToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每个分区根目录下面生成AUToRUN.Inf和soS.Exe,达到通过U盘等移动存储传播的目的。
2.调用reg.exe进行一些注册表的操作
与之前的变种相同
主要执行的操作为:
添加自启动项目
禁用windows自动更新
禁用任务管理器
破坏显示隐藏文件的功能
不显示文件的扩展名
锁定主页,并使得IE的主页设定选项不可选
3.遍历所有磁盘分区删除*.gho文件
4.遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
并在其尾部加入iframe代码
5.关闭指定窗口
病毒
木马
检测
wpe
以及包含下面的table.txt中的指定关键字窗口
6.连接网络下载http://www.*/url.txt
http://www.*/IE.txt
http://www.*/table.txt
到%systemroot%\system32下面命名为FSEc.COM,FSEb.COM,FSEx.COM
其中table.txt和IE.txt每几秒钟便重新下载一次
其中url.txt为下载的木马列表
IE.txt为锁定的主页的名称
table.txt为关闭指定窗口的名称
目前为:
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山
社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
微点
卡巴斯基
kaspersky
rising
瑞星
诺顿
之后会根据url.txt中的内容下载木马到%systemroot%\system32并运行
中毒后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{crsss}{C:\WINDOWS\system32\TxHMoU.Exe} []
{GenProtect}{C:\WINDOWS\mzosty.exe} []
{upxdnd}{C:\WINDOWS\upxdnd.exe} []
{cmdbcs}{C:\WINDOWS\cmdbcs.exe} []
{WinSysM}{C:\WINDOWS\608769M.exe} [N/A]
{MsPrint32D}{C:\WINDOWS\chasai.exe} []
{KVP}{C:\WINDOWS\system32\drivers\svchost.exe} []
{WinSysW}{C:\WINDOWS\608769L.exe} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{MSDEG32}{LYLoader.exe} []
{MSDWG32}{LYLoadbr.exe} [N/A]
{MSDCG32 }{LYLeador.exe} [N/A]
{MSDOG32}{LYLoador.exe} [N/A]
{MSDSG32}{LYLoadar.exe} [N/A]
{MSDMG32}{LYLoadmr.exe} [N/A]
{MSDHG32}{LYLoadhr.exe} [N/A]
{MSDQG32}{LYLoadqr.exe} [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvdxsjma.dll} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kvdxsjma.dll} []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []
{{B7777BE4-DD7E-4EFF-8F13-56C4ADD3F454}}{C:\WINDOWS\system32\txslexpias.dll} [Microsoft Corporation]
{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll} []
{{6960356A-458E-DE24-BD50-268F589A56A6}}{C:\WINDOWS\system32\avwlfmn.dll} []
{{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll} []
{{68907901-1416-3389-9981-372178569986}}{C:\WINDOWS\system32\kawdfzy.dll} []
{{D6650011-3344-6688-4899-345FABCD156D}}{C:\WINDOWS\system32\ratbmpi.dll} []
{{58847374-8323-FADC-B443-4732ABCD3785}}{C:\WINDOWS\system32\sidjezy.dll} []
{{36FF2E71-1F0D-4E07-9213-E6740C57322E}}{C:\WINDOWS\system32\uavokcvmewog.dll} [Microsoft Corporation]
{{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll} []
==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
{system32\DRIVERS\comint32.sys}{N/A}
[comint32 / comint32][Running/Manual Start]
{\??\C:\WINDOWS\system32\DRIVERS\comint32.sys}{N/A}
==================================
浏览器加载项
[]
{9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A}
解决办法:
下载sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下
1.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\608769MM.DLL
C:\WINDOWS\608769WL.DLL
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\GenProtect.exE
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\system32\ampvstqj32.dll
C:\WINDOWS\system32\asvzhuzhu32.dll
C:\WINDOWS\system32\avwlfin.dll
C:\WINDOWS\system32\avwlfmn.dll
C:\WINDOWS\system32\avwlfst.exe
C:\WINDOWS\system32\avzxjmn.dll
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\drivers\comint32.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\gdqqhxi32.dll
C:\WINDOWS\system32\GenProtect.dll
C:\WINDOWS\system32\kawdfaz.exe
C:\WINDOWS\system32\kawdfzy.dll
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\ratbmpi.dll
C:\WINDOWS\system32\ratbmtl.exe
C:\WINDOWS\system32\sidjeaz.exe
C:\WINDOWS\system32\sidjezy.dll
C:\WINDOWS\system32\TxHMoU.Exe
C:\WINDOWS\system32\txslexpias.dll
C:\WINDOWS\system32\uavokcvmewog.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\upxdnd.exe
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
(第一步为处理病毒下载的木马的步骤,实际操作中不一定与其完全相同)
2.重启计算机
打开sreng
删除所有上述描述中的启动项目,驱动程序和浏览器加载项
之后点击 系统修复-Windows Shell / IE
勾选如下选项
允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
显示隐藏文件
然后点击“修复”按钮
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%\system32\AUToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在左边的资源管理器中单击打开每个分区
删除每个分区根目录下面的soS.Exe和auToRun.inf
3.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址:http://www.vaid.cn/blog/read.php?9
分页: [1] [2] (编辑:网站学习网)
|
当前位置: