瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“孤独豪侠”——木马rundll32.exe的查杀

12   1  /  2  页   跳转

致“孤独豪侠”——木马rundll32.exe的查杀

致“孤独豪侠”——木马rundll32.exe的查杀

我用你给的样本感染系统(XPSP2+所有补丁),与你们的中毒表现有所不同:
病毒在C:\WINDOWS\system32\Setup文件夹中创建一个run.tmp文件。可执行文件rundll32.exe在C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\中。
这个病毒比较各色——我用TPF阻止它运行,它就跟我就来这套(见附图),够变态吧!
用IceSword结束病毒进程rundll32.exe,就好了。

查杀步骤:

一、结束病毒进程rundll32.exe;
二、删除下列病毒文件:
C:\WINDOWS\system32\Setup文件夹中的run.tmp
C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\文件夹。
三、清理注册表:
1、展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将:"DisableRegistryTools"=dword:00000001改为:"DisableRegistryTools"=dword:00000000
2、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"rundll32"="C:\\DOCUME~1\\当前用户名\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
3、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将:"Shell"="C:\\DOCUME~1\\baohelin\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
改为:"Shell"="C:\\WINDOWS\\explorer.exe"。
否则,你删除病毒文件重启系统后,就只能看到一个空空的桌面了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-16 18:01:00
描述:



最后编辑2005-10-13 20:59:13
分享到:
gototop
 



今天下了KAV.6.0.14.202.exe,试了下不错

速度及占用较上次的少


附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-16 18:07:53
描述:



gototop
 

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-16 18:10:58
描述:



gototop
 

【回复“有情人终成眷属”的帖子】
我的代理服务器这两天不正常.不能试了.
gototop
 

1、展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将:"DisableRegistryTools"=dword:00000001改为:"DisableRegistryTools"=dword:00000000
这项,我的机算机里没这个,这项打开只有一个"(默认)  REG_SZ  (数值未设)
3、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将:"Shell"="C:\\DOCUME~1\\baohelin\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
改为:"Shell"="C:\\WINDOWS\\explorer.exe"。这个展开也没有!!
至于你第二个里说的,看图吧,只有这个!!
是不是昨天已被我干掉了???你在上面说的两个文件我都有删!!那个文件夹我也删了!

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-17 9:24:39
描述:



gototop
 

利害啊
gototop
 

学习,,,
收藏~~~~~~~~
gototop
 

病毒样本要不??
gototop
 

引用:
【有情人终成眷属的贴子】

今天下了KAV.6.0.14.202.exe,试了下不错

速度及占用较上次的少



...........................
羡慕呀~~~,可惜我的机器差,今天把tiny也删除了,用了个垃圾点的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-17 12:17:36
描述:



gototop
 

我想要学习,不知道有没有机会哦
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT