瑞星卡卡安全论坛

这是个通过网页传播的木马下载器update.exe下载的木马群。

中招后，SRENG日志可见下列异常项：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <uhwv2sy><C:\windows\iexpl0re.exe>  [N/A]
    <eqkt><C:\windows\winlog0a.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.exe>  [Microsoft Corporation]
    <wsttrs><C:\windows\wsttrs.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\windows\system32\userinit.exe,C:\windows\system\userinit.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{4DEC9B29-F08F-4cbc-B179-592B9283FAC9}><c:\program files\uinoxnwr.dll>  [N/A]
服务
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\windows\system32\\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
正在运行的进程
[PID: 704][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\program files\uinoxnwr.dll]  [N/A, N/A]
[PID: 644][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\LgSym.dll]  [N/A, N/A]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\windows\system32\LgSyl.dll]  [N/A, N/A]
    [c:\program files\uinoxnwr.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.dll]  [N/A, N/A]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 1624][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 2012][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
    [C:\windows\system32\LgSyl.dll]  [N/A, N/A]
    [C:\windows\system32\LgSym.dll]  [N/A, N/A]
[PID: 1896][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8679]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 856][C:\windows\iexpl0re.exe]  [N/A, N/A]
[PID: 920][C:\windows\winlog0n.exe]  [N/A, N/A]
    [C:\windows\system32\LgSyl.dll]  [N/A, N/A]
[PID: 3708][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe]  [Hyperionics Technology LLC, 5, 3, 0, 0]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
    [C:\windows\system32\LgSyl.dll]  [N/A, N/A]
    [C:\windows\system32\LgSym.dll]  [N/A, N/A]
[PID: 3044][C:\Program Files\SRENG\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
    [C:\windows\system32\LgSyl.dll]  [N/A, N/A]
    [C:\windows\system32\LgSym.dll]  [N/A, N/A]
——————————————————
其中C:\windows\system\userinit.exe为隐藏进程。c:\program files\uinoxnwr.dll（动态文件名）插入winlogon进程；
    C:\windows\system32\windhcp.ocx
    C:\windows\system32\wsttrs.dll
    C:\windows\system32\LgSyl.dll
    C:\windows\system32\LgSym.dll
    动态插入应用程序进程，增加查杀难度。

用SSM手工杀毒操作流程见图1－图4；

注册表清理见图5－图8。

注：因为病毒动态插入应用程序进程，因此，不建议先用SRENG删除病毒启动项。按照本帖的杀毒顺序操作，可以顺利清除病毒。


图1

附件: 155847200737160807.jpg

图2

附件: 155847200737160843.jpg

图3

附件: 155847200737160911.jpg

图4

附件: 155847200737160935.jpg

图5

附件: 155847200737161002.jpg

图6

附件: 155847200737161025.jpg

图7

附件: 155847200737161055.jpg

图8

附件: 155847200737161251.jpg

SSM在哪下啊.还有.我家这还有个c0nima.怎么搞掉啊?

汗..真多...

学习学习

学习了！

太好了 有一点看不懂啊

我对电脑很白痴了不好意识啊!

学习中

支持版主,说一句,文件名及其附带下载的所有病毒都有可能有变化,而且全部为盗号牧马,网页挂这种木马的比较多,很多网站都有,希望大家上网的时候小心

此病毒最近确实很泛滥 而且病毒名总是模仿系统进程
如iexpl0re.exe，iexpiore,lexplore,comia,winiogon,winlog0n...

讲解得很详细！

原来库文件是这样被禁止的~~(那驱动也可以用这个方法来操作吧吗~)

呵呵,学习~~

这个东西还真流行
到处都是

附件: 79532220073882817.jpg

引用:

【newcenturymoon的贴子】此病毒最近确实很泛滥 而且病毒名总是模仿系统进程 如iexpl0re.exe，iexpiore,lexplore,comia,winiogon,winlog0n... ………………

没有经验的真的很可能被骗了啊..

雨薇在线木马？！！！

多谢版主，学习中。

SSM中文版哪有下?

SSM中文版哪有下啊?

谢谢

虽然我的技术很菜,但是我装了SSM;虽然不是很会用,但是中招后我会按猫猫的截图做.嘿嘿.

顺便问下,我这个SSM要到期了,怎么办呢?有没有破解的啊.有地址吗?

引用:

【yulf的贴子】顺便问下,我这个SSM要到期了,怎么办呢?有没有破解的啊.有地址吗? ………………

用免费版吧

先感谢下斑竹.再慢慢看.