昨天 天月来了 让我分析个实例,那么就分析  对付IEFO劫持的病毒怎么解决

由于昨天有个MM向我求救,让我远程帮她解决电脑问题,正好遇到了IEFO劫持的病毒

那是个8位随机病毒,该MM机器装了卡巴6.0,天网防火墙,当远程看到的时候卡巴是灰色不可用状态

使用任何工具都被强行关闭,连批处理.BAT文件也无法正常使用,安全模式进入后就蓝屏...且无法使用双击打开盘符

CTRL+ALT+DEL调出任务管理器,发现可疑进程terebmi.exe以及nuygtvw.exe

于是用绑架克星HijackThis扫描系统,发现可疑启动

O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe



由于中该病毒后在各分区生成C69ACFA9.exe和一个MSOCache(隐藏文件)还有个autorun.inf 文件

autorun.inf 的内容是下面的代码...

[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=xywrebh.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xywrebh.exe


考虑到那两文件是隐藏的属性,必须先显示所有文件

我用批处理实现...

@cls
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg

显示后发现每个盘都出现C69ACFA9.exe和一个MSOCache(隐藏文件)还有个autorun.inf 文件,那么我用下面的代码搞定它...

FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\C69ACFA9.exe & DEL /F /Q /A -R -H -S -A %%a\C69ACFA9.exe & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF

MSOCache那文件可以直接删除在后面添点代码就可以了....由于考虑到那家伙是随机病毒,C69ACFA9.exe处自己修改为你机器里面中的那病毒文件的名字..

& ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF可以修改为自己电脑病毒的文件参数!~


病毒产生的文件就这么些,那么看下进程吧,我使用我的进程分析程序里面的工具,查看进程调用的DLL文件,刚双击出现CMD界面,就被病毒杀死了...

看来,那家伙禁止使用带到杀毒等字样的文件运行啊,不过最终被我成功扫描到了  进程调用的DLL文件,终于揭开了疑惑

在绑架克星HijackThis扫描的日志里面,卡巴和天网都有进程,去无法使用,终于被我发现了,那家伙把卡巴和天网调用的DLL全部给注销了...导致看到的只是空进程!

我的工具,扫描后看到内容如下!~

nuygtvw.exe          ‖→未定义程序
terebmi.exe          ‖→未定义程序

图像名                      PID 模块                                       
========================= ====== =============================================
avp.exe                    1128 暂缺  卡巴
pfw.exe                    1576 暂缺  天网                                     
avp.exe                    1584 暂缺  卡巴
nuygtvw.exe                2648 ntdll.dll, kernel32.dll, USER32.DLL,       
                                GDI32.dll, ADVAPI32.DLL, RPCRT4.dll,       
                                OLEAUT32.DLL, msvcrt.dll, ole32.dll,       
                                SHELL32.DLL, SHLWAPI.dll, URLMON.DLL,       
这两个就是病毒调用的DLL        VERSION.dll, WININET.DLL, CRYPT32.dll,     
                                MSASN1.dll, IMM32.DLL, LPK.DLL, USP10.dll, 
                                comctl32.dll, comctl32.dll, MSCTF.dll,     
                                uxtheme.dll, mlang.dll, Secur32.dll,       
                                wsock32.dll, WS2_32.dll, WS2HELP.dll,       
                                mswsock.dll, hnetcfg.dll, wshtcpip.dll,     
                                RASAPI32.DLL, rasman.dll, NETAPI32.dll,     
                                TAPI32.dll, rtutils.dll, WINMM.dll,         
                                sensapi.dll, USERENV.dll, DNSAPI.dll,       
                                iphlpapi.dll, rasadhlp.dll, DShared.dll     
terebmi.exe                3812 ntdll.dll, kernel32.dll, USER32.DLL,       
                                GDI32.dll, ADVAPI32.DLL, RPCRT4.dll,       
                                OLEAUT32.DLL, msvcrt.dll, ole32.dll,       
                                SHELL32.DLL, SHLWAPI.dll, URLMON.DLL,       
                                VERSION.dll, WININET.DLL, CRYPT32.dll,     
                                MSASN1.dll, IMM32.DLL, LPK.DLL, USP10.dll, 
                                comctl32.dll, comctl32.dll, MSCTF.dll,     
                                Secur32.dll, uxtheme.dll, mlang.dll,       
                                wsock32.dll, WS2_32.dll, WS2HELP.dll,       
                                mswsock.dll, hnetcfg.dll, wshtcpip.dll,     
                                RASAPI32.DLL, rasman.dll, NETAPI32.dll,     
                                TAPI32.dll, rtutils.dll, WINMM.dll,         
                                sensapi.dll, USERENV.dll, DNSAPI.dll,       
                                iphlpapi.dll, rasadhlp.dll, DShared.dll 

我最终选择的操作是这样的,使用冰刃IceSword.EXE刚想用,发现无法用了,于是重命名了个随便的名字,能用了.

先禁止进程创建,然后结束掉nuygtvw.exe和terebmi.exe进程

然后顺着路径C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe

C:\Program Files\Common Files\System\terebmi.exe直接用费尔强制删除工具--DEL掉,记得钩选,抑制病毒再生选项

既然把那病毒程序直接DEL掉了,应该就剩下注册表里面的启动和调用的DLL文件了,

用绑架客星修复病毒启动

O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
将这个整个删除了。

不过似乎那病毒会自动创建呢个键值的,所以先把那主程序DEL掉就没办法了,哈哈,就这么简单的搞定了..


考虑到那病毒以后或许会禁用注册表,特别给个解锁注册表的.BAT工具

:jiesuo
@cls
@echo Windows Registry Editor Version 5.00 >jiesuo.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg
@echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg
@regedit /s jiesuo.reg
@del /F /Q jiesuo.reg 
@echo ***********************************************************
@echo #                    解锁注册表完毕！                    #
@echo #                                                        #
@echo #                      按任意键退出                      #
@echo ***********************************************************
@pause>nul 2>nul
GOTO EXIT

有疑问请来我博客留言吧!~http://hi.baidu.com/逍遥问

呵呵！！！！1

就这样啊？？？？？？？

那插入进程的东西，能不能用批处理在重启时禁止加载呢？？？？？

恩？？？？？？？？？？？？？？

呵呵,可以,对于批处理,我已经将它发挥到伶俐竟至,但目前是,那家伙被我这么一搞它就彻底歇得了,郁闷啊,还不够完善哈,今天又有个人向我求助了,看来的出个批处理专杀了,教程你还满意不?不满意也没办法,我表达能力差,我发现我写的程序实在是比那绑架客星都详细了哈!~,争取做个更全面的工具,现在正在酝酿中....需要工具的各位,我将提供QQ技术支持:422547345

http://forum.ikaka.com/topic.asp?board=28&artid=8321490
这个帖子是专杀工具,需要的朋友去看下吧!~