瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用文件访问权限灭掉假explorer.exe木马群

12   1  /  2  页   跳转

[原创] 利用文件访问权限灭掉假explorer.exe木马群

利用文件访问权限灭掉假explorer.exe木马群

近期流行的这类木马群都比较变态。有驱动保护、病毒文件多,插入进程的病毒模块多,在各硬盘分区根目录以及移动存贮介质根目录下创建autorun.inf及配套的病毒.exe。

中招后难杀净。按传统的方法手工杀毒,需要一一处理被插进程,一一删除病毒文件,工作很量大。

以下介绍一种以中毒日期为切入点、利用文件访问权限禁锢病毒程序的手工杀毒方法。手工杀毒操作得工作量要小得多。

1、根据中毒日期,分门别类搜索病毒文件(.dll、.fon、.ttf、.sys、.dat、......)。
   全部选中搜索到的病毒文件(这里以.dll病毒文件为例),参考图1-图7操作,将病毒.dll全部禁锢起来。

图1

图2




图3





图4


图5

图6

图7



2、再分别搜病毒文件.fon、.ttf、.sys、.dat等,依样画葫芦,仿前面图1-图7处理。


图8





图9




图10





用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
分享到:
gototop
 

回复:利用文件访问权限灭掉假explorer.exe木马群

图11

3、注销当前用户。重新登陆。将dllcache目录下或同类系统的其它电脑中的comres.dll拷贝到中招电脑的system32目录下。
然后,重复第一步的分类搜索。这时,搜索到的病毒文件已可删除(删除效果类似于IceSword的文件删除,文件被直接删除而不进入回收站)。

图12



图13

4、剩下的工作就是处理那些小喽罗了。不难。


图14

图15





5、去掉hosts文件中病毒添加的内容,保存hosts。
最后编辑baohe 最后编辑于 2009-05-29 22:09:46
gototop
 

回复:利用文件访问权限灭掉假explorer.exe木马群

ntfs权限用的很到位

谢谢猫叔

建议提供样本

gototop
 

回复 3F happysunday2003 的帖子

gototop
 

回复:利用文件访问权限灭掉假explorer.exe木马群

一般C盘都是FAT32
gototop
 

回复: 利用文件访问权限灭掉假explorer.exe木马群



引用:
原帖由 夲號ヱ被ジ盜 于 2009-5-29 22:35:00 发表
一般C盘都是FAT32


XP系统推出多少年了?

系统分区非得用FAT32?自己跟自己过不去!
gototop
 

回复: 利用文件访问权限灭掉假explorer.exe木马群

有个驱动搞到tiny的目录?



又见猫叔大作..
gototop
 

回复 7F smallyou93 的帖子

那是Tiny的revertcache目录中的正常系统程序。以Track'nReverser方式追踪运行样本,Tiny会自动在其安装目录下创建revertcache目录,存放病毒更改或释放的程序,以备回滚时用。在Tacklog Analyzer中File部分看到的追踪内容就是来自这里。

本例该目录下的这个.sys是正常系统程序,不删除也行。
最后编辑baohe 最后编辑于 2009-05-29 23:07:23
gototop
 

回复 8F baohe 的帖子

啊,病毒篡改了那驱动,恢复了SSDT,tiny自动把正常的驱动备份到revertcache,好回滚
gototop
 

回复:利用文件访问权限灭掉假explorer.exe木马群

看了支持一下
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT