瑞星卡卡安全论坛

中毒症状如下：
瑞星监控被关 
无法显示隐藏文件
下载木马
C:\WINDOWS\WinForm.exe> []
C:\WINDOWS\DiskMan32.exe> []
C:\WINDOWS\NVDispDrv.exe> []
C:\WINDOWS\upxdnd.exe> []
C:\WINDOWS\msccrt.exe> []
C:\WINDOWS\Kvsc3.exe> []
C:\WINDOWS\mppds.exe> [N/A]
C:\WINDOWS\AVPSrv.exe> [N/A]
C:\WINDOWS\cmdbcs.exe> []
C:\WINDOWS\DbgHlp32.exe> [N/A]

每个盘下生成autorun.inf 和auto.exe

注册表里不正常项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><; C:\WINDOWS\WinForm.exe> []
<DiskMan32><C:\WINDOWS\DiskMan32.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<AVPSrv><C:\WINDOWS\AVPSrv.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [N/A]


服务
[A8077E40 / A8077E40][Stopped/Auto Start]
<C:\WINDOWS\system32\32620A20.EXE -k><Microsoft Corporation>

每个盘下的autorun.inf  auto.exe

C:\WINDOWS\system32\  下的

    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]

下面开始处理：


奇怪的是：扫描出来的日志中
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
这些东西在注册表里却没有显示。

在正常模式中，用WINRAR删除autorun.inf  auto.exe删除就被恢复回去

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinForm><; C:\WINDOWS\WinForm.exe> []
<DiskMan32><C:\WINDOWS\DiskMan32.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<AVPSrv><C:\WINDOWS\AVPSrv.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [N/A]
这些可以搞掉


进入安全模式
用WINRAR删除autorun.inf  auto.exe后
用SRENG查看启动项目  注册表 就能发现不正常的东西
由于没有虚拟机，实机搞的，比较仓促，没有弄下来
只记得，在IE里也加了什么东西，其他就是一些DLL文件

用SRENG删除了注册表以后，删除服务
[A8077E40 / A8077E40][Stopped/Auto Start]
<C:\WINDOWS\system32\32620A20.EXE -k><Microsoft Corporation>
PS：32620A20.EXE 是随即生成

用WINRAR删除
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\system32\cmdbcs.dll]  [N/A, ]
    [C:\WINDOWS\system32\fhqcur.dll]  [N/A, ]
    [C:\WINDOWS\system32\DiskMan32.dll]  [N/A, ]
    [C:\WINDOWS\system32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\system32\msccrt.dll]  [N/A, ]
C:\WINDOWS\system32\32620A20.EXE
C:\WINDOWS\system32\32620A20.dll

重起
瑞星监控打开了。用卡卡上网助手 修复了 显示隐藏文件

全盘杀毒（无病毒）。没有问题了

PS：样本还在，有兴趣的朋友可以跟帖要

 

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

给我个,我还没玩够~~呵呵~~

引用:

【xqb761的贴子】给我个,我还没玩够~~呵呵~~ ………………

发了

【回复“日不懂啊”的帖子】
来一个
baohelin@yahoo.com.cn
谢谢！

收到~~~谢谢~~~~
玩玩先,我也是用实机的~~~

nkevin@163.com

给一个了。谢谢拉～

这个怎么没映像劫持的?

样本我也要．．．
给我个．．．．ＱＱ：３８４６３１７９

好东西 哪能错过呢  也发个给我

E-MAIL:
angel144@21cn.com

谢谢

搞完了~~~~
不好玩,太容易删除了~~

等待样本中...... 

引用:

【HOSTのS的贴子】等待样本中......  ………………

怎么给你？

nkevin@163.com

收到了，谢谢楼主！晚上有的玩了。嘿嘿～

【回复“日不懂啊”的帖子】这个auto貌似很爽的样子！
中了以后，登陆本社区，系统马上重启。
刚才是在影子下运行的。资料没有保存下来。
[A8077E40 / A8077E40][Stopped/Auto Start]这个服务几乎插入所有进程。
如果下一个变种删除“安全模式”，估计就比较难杀了。

[A8077E40 / A8077E40][Stopped/Auto Start]
<C:\WINDOWS\system32\32620A20.EXE -k><Microsoft Corporation>

这个，这个要先删除，不然删不掉auto.exe

我记得还有释放个随机的.dll

如猫叔说的

【回复“baohe”的帖子】
猫叔，原来我按老方法告诉一个论坛的朋友怎么搞，他怎么都搞不定。我郁闷了，把样本要来自己搞了搞

后来发现安全模式是这个病毒的弱点...
如果跟AV一样，把安全模式破坏了的话...
还没想出什么办法

PS：不知道猫叔的着数，开机加载冰刃启动，禁止进程创建，再删除。能不能防止auto.exe autorun.inf的自我保护了

哈哈，乱想的

【回复“日不懂啊”的帖子】
这东东确实比较爽。看看中招后的SRENG日志吧。

附件: 155847200794194538.txt

猫叔辛苦了