瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 木马群(5.exe)的查杀
baohe - 2006-8-1 11:54:00

这是个带驱动的木马群。驱动加载方式:
在注册表的HKEY_CLASSES_ROOT\CLSID\分支添加{C9953583-932E-4EA1-A04B-4523AAB72C30},其中InProcServer32的默认值设置为:
@="C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys"
"ThreadingModel"="Apartment"。
system.sys通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载。

木马添加的其它启动项还有:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam(指向c:\windows\system32\svohost.exe)
HKLM\System\CurrentControlSet\Services           
Microsoft WinshellMicrosoft Winshell(指向c:\windows\microsoft winshell.exe)   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ZTmassacre(指向c:\windows\help\ztpass.exe)
手工查杀流程:
1、将RegFix.exe的后缀改为.com(或.bat),运行RegFix.com,修复文件关联。(HKEY_CLASSES_ROOT\exefile\shell\open\command的默认值被木马篡改,见图1)。
2、打开注册表编辑器,删除下列注册表项:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam(c:\windows\system32\svohost.exe)
(3)HKLM\System\CurrentControlSet\Services           
Microsoft WinshellMicrosoft Winshell(c:\windows\microsoft winshell.exe)   
(4)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ZTmassacre(c:\windows\help\ztpass.exe)
(5)HKEY_CLASSES_ROOT\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}
3、重启系统。
4、删除木马文件(图2)。

图1

附件: 155847200681114646.jpg
baohe - 2006-8-1 11:55:00
图2

附件: 155847200681114724.jpg
710207 - 2006-8-1 11:57:00
学习~~~
猫叔还有样本吗
我想看看
yssf7777@eyou.com
yanmings - 2006-8-1 11:59:00
收藏了,谢谢猫叔

回头叫M他们也来看看
baohe - 2006-8-1 12:04:00
引用:
【710207的贴子】学习~~~
猫叔还有样本吗
我想看看
yssf7777@eyou.com
...........................

已经发送到:yssf7777@eyou.com
mopery - 2006-8-1 12:23:00
猫叔
bin59420@yahoo.com.cn
丢...别再丢错咯..
newcenturymoon - 2006-8-1 12:29:00
猫叔  请教一下 怎么看一个木马生成的文件 有什么监控软件不
轩辕小聪 - 2006-8-1 12:45:00
引用:
【newcenturymoon的贴子】猫叔  请教一下 怎么看一个木马生成的文件 有什么监控软件不

...........................

猫叔应该是用TINY墙监控到的。
艾玛 - 2006-8-1 13:10:00
temp里有exe没有启动?
闪电风暴 - 2006-8-1 13:11:00
学习了
baohe - 2006-8-1 14:02:00
引用:
【艾玛的贴子】temp里有exe没有启动?
………………

没有启动。
因为那些.exe可直接删除(不用重启系统)。
baohe - 2006-8-1 14:08:00
引用:
【mopery的贴子】猫叔
bin59420@yahoo.com.cn
丢...别再丢错咯..
………………

已发
westbeck - 2006-8-1 14:09:00
学习了...
baohe - 2006-8-1 14:14:00
引用:
【轩辕小聪的贴子】
猫叔应该是用TINY墙监控到的。
………………

用SSM也行
我爱吃橘子 - 2006-8-1 14:20:00
留个标记~~~

以后继续看~~~ 收藏了~~
唐琴是我 - 2006-8-1 16:21:00
兄弟注册表怎么打开啊
野人阿宽 - 2006-8-1 16:30:00
学习
闪电风暴 - 2006-8-1 19:19:00
引用:
【baohe的贴子】
用SSM也行
………………

SSM怎么监视创建的文件啊??
baohe - 2006-8-1 20:21:00
引用:
【闪电风暴的贴子】
SSM怎么监视创建的文件啊??
………………



附件: 155847200681201308.jpg
现在进行时 - 2006-8-1 22:41:00
是猫叔的贴就收藏,太晚了,以后再看。
mopery - 2006-8-1 23:04:00
【回复“baohe”的帖子】

猫叔 新版的SSM功能好象又多了..

是否写了介绍的帖子撒?
蓝色的枫叶 - 2006-8-2 0:20:00
好久没来了,你还是那么“敬业”啊,呵呵。看了。
葑霏飘凌 - 2006-8-2 1:29:00
看了这些我才对这些东西有了初步的了解
ta152 - 2006-8-2 10:25:00
原来有这么多的监控软件.
61666652 - 2006-8-2 14:03:00


61666652 - 2006-8-2 14:05:00
引用:
【61666652的贴子】好


………………

61666652 - 2006-8-2 14:06:00
[img][/img]
61666652 - 2006-8-2 14:07:00
【回复“61666652”的帖子】
火焰冰舞 - 2006-8-2 20:59:00
猫叔,那1.exe,7.exe 算不算正常文件阿?
1
查看完整版本: 木马群(5.exe)的查杀
© 2000 - 2026 Rising Corp. Ltd.