瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】自动在D盘下生成一个AUTORUN和一个隐藏的COMMAND.com文件~

1234   1  /  4  页   跳转

【求助】自动在D盘下生成一个AUTORUN和一个隐藏的COMMAND.com文件~

收藏
海杰之心
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-26 22:11 | 只看楼主 短消息 资料
字号: 1楼

【求助】自动在D盘下生成一个AUTORUN和一个隐藏的COMMAND.com文件~

木马进程:

C:\WINDOWS\LSASS.exe

查杀方法见1楼
最后编辑2006-08-14 08:24:27
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-26 22:20 | 短消息 资料
字号: 2楼

【回复“海杰之心”的帖子】
C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。
————————————————

木马Trojan.Agent.awa的手工查杀流程:

1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0
————————————————————
【要删除的木马文件见下图】

附件附件:

下载次数:859
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-26 22:20:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-26 22:23 | 短消息 资料
字号: 3楼

原rfwcfg.exe的MD5值——

附件附件:

下载次数:826
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-26 22:23:18
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-26 22:24 | 短消息 资料
字号: 4楼

中此木马后rfwcfg.exe的MD5值——

附件附件:

下载次数:830
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-26 22:24:09
描述:
预览信息:EXIF信息
gototop
 
海杰之心
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-26 22:33 | 只看楼主 短消息 资料
字号: 5楼

谢谢斑竹给我的回复。。。
但有问题啊,我装的是诺顿,没装瑞星啊,还有那个LSASS。EXE根本不能结束进程,说是系统关键进程,我用KILLBOX强行删除了以后,就出现60秒自动重新启动了,重新启动以后,重新扫描一下,还是老样子。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-26 22:37 | 短消息 资料
字号: 6楼

【回复“海杰之心”的帖子】
结束进程时,建议用IceSword的进程列表。正常系统进程lsass.exe所在路径与木马进程LSASS.EXE所在路径不同(木马程序的路径是C:\windows)。
如果你误将系统进程lsass.exe结束,系统就会重启。
gototop
 
★777★
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2006-02-25
  • 来自:
发表于: 2006-02-28 09:54 | 短消息 资料
字号: 7楼

我是电脑盲但我装的是瑞星而且也玩梦幻 但看不懂要怎么删怎么办
gototop
 
帅气波子
头像
初生襁褓狮
  • 帖子:29
  • 注册: 2006-02-06
  • 来自:
发表于: 2006-03-23 23:31 | 短消息 资料
字号: 8楼

"先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。"
什么意思啊?还有,我照你的方法做,
"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"
里面跟本就没有 "WindowFiles"和"wextract_cleanup0"
怎么办啊~~~
gototop
 
搞不懂
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2004-12-23
  • 来自:
发表于: 2006-04-01 16:10 | 短消息 资料
字号: 9楼

楼主IceSword.还是一关就重启也.怎么办呀?你能说的再具体点吗?有些看不懂啊~!
gototop
 
lanyue
头像
禁止访问
  • 帖子:1126
  • 注册: 2004-12-20
  • 来自:
发表于: 2006-04-10 17:03 | 短消息 资料
字号: 10楼

该用户帖子内容已被屏蔽
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT