瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【讨论】如果出现进程中出现exerout.exe,和木马启动项该怎样?

1   1  /  1  页   跳转

【讨论】如果出现进程中出现exerout.exe,和木马启动项该怎样?

【讨论】如果出现进程中出现exerout.exe,和木马启动项该怎样?

昨天,发现朋友的一台机子,出现了登陆框消失后启动速度特慢,只有通过任务管理器重新运行“Explorer.exe”,才可以出现桌面,后来发现出现了许多奇怪文件和进程,在桌面出现期间存在了许多进程,但是桌面启动后,许多进程就消失了,现列举如下——
1、vmaildog.*(经查询,这是个木马病毒)
2、iexplores.exe(经查询,是个病毒)
3、brsvc01A和brsvc02A,我们没有联接兄弟公司的打印机和外设阿,怎么会有这种进程???
4、exert.exe进程,不详
5、dwin.exe,不详
  删了文件,又删注册表,又停启动项,结果还是在注册表中出现…… 
  在网上,查了不少资料,应该是Trojan Horse,又没有不重新作系统的清除方法……
最后编辑2006-04-05 11:33:35
分享到:
gototop
 

用iceword查看
gototop
 

【回复“aikakaka”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载HIJACKTHIS
导出日志
gototop
 

昨天删了一下午,是按照下面两种方法的综合做的……贴出来,让遭受过磨难的人们,学习一下……

转贴:

删除exeroute.exe名病毒过程,昨天亲自做的

1. 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Torjan Program----------C:\WINNT\services.exe删除

3.用IceSword(改名为.com的后缀)结束病毒进程(是Windows\services.exe,不是System32\services.exe)

4.用安全专家IE修复,高级里面文件关联修复。
(或者用SREng.exe,改名SREng.com,运行它,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联。)

5.搜索日期为:2005-8-19 大小:156KB的文件(这个是病毒生成的文件共同特性),可以搜索到如下文件:
program files\common files\iexplore.pif      2005-8-19 156kB
program files\Internat explorer\iexplore.com  2005-8-19 156kB
windows\1.com                      2005-8-19 156kB
windows\exeroute.exe                  2005-8-19 156kB
windows\explorer1.com                  2005-8-19 156kB
windows\finder.com                    2005-8-19 156kB        windows\services.exe                  2005-8-19 156kB
windows\system32\command.pif            2005-8-19 156kB
windows\system32\dxdiag.com              2005-8-19 156kB
windows\system32\finder.com              2005-8-19 156kB
windows\system32\msconfig.com            2005-8-19 156kB
windows\system32\regedit.com            2005-8-19 156kB
windows\system32\rundll32.com            2005-8-19 156kB
把它们都删除。

6.打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”




中了个木马(Trojan Horse)


关键词尾 exeroute,NtDhcp 的病毒---建议直接重装机器
这个后门共产生14个文件+3个快捷图标+2个文件夹。
注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。这个病毒释放了很多病毒文件,还修改了很多注册表信息,经过一番处理,现在推荐以下步骤操作:
1. 准备工作,下载SREng.exe,并改名为SREng.com 下载地址: http://www.kztechs.com/sreng/download.html
2. 运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可) 注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。
3. 运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联
4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的: 计算机安全中心.lnk 安全测试.lnk 系统信息管理器.lnk
注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除: HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒。

gototop
 

【回复“aikakaka”的帖子】
从楼主提供的病毒信息来看
应该是一个龙字传奇木马
参考
传奇“龙”木马的查杀
http://forum.ikaka.com/topic.asp?board=28&artid=7678628
gototop
 

不言这么一说,我想起来了,其中有一些病毒图标像是龙,是的!!!谢谢啦……
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT