老婆在用电驴下载一个游戏后运行,中了一个落雪症状木马程序,好像是木马变种,对注册表大肆修改,禁止运行许多杀毒软件和安全软件,经过2晚查找,终于清理干净,与大家探讨解决过程:
一、症状:
1、与落雪有些类似,但出现 runtime error 5 ……..,各盘符出现AUTO,关闭各种杀毒软件;
2、用搜索引擎搜索相关病毒知识时发现,部分著名杀毒网站被屏蔽,无法访问,被转到网址127.0.0.1;正常模式下本机HOSTS无法访问,点击HOSTS,WINDOWS报错“WINDOWS无法找到………HOSTS,请确定文件名是否正确后,再试一次…..”
3、、用江民落雪病毒专杀在安全模式下将所有木马清理完成后,重新安装瑞星杀毒软件,安装完成后,监控未自动运行,点击瑞星杀毒,无法访问,报错“WINDOWS无法找到………RAV.EXE请确定文件名是否正确后,再试一次…..”;本计划采用虚拟光驱重装硬盘中WINXP2,但报错无法安装;
4无法显示隐藏文件,在工具-文件夹选项-查看-显示所有文件和文件夹,更改后仍自动改回不显示隐藏文件,仍不显示隐藏文件。
二、解决步骤:
1、 在网络上搜索“runtime error 5”,结合杀毒软件被关闭等现象,怀疑中了落雪类木马,下载江民落雪专杀,按网上介绍步骤在正常、安全模式下将落雪可以基本消除,然后采用橙色8月杀毒可以查处两个疑似病毒,清除,运行病毒查杀完毕;
2、怀疑网络解析有问题,在网上搜索时发现部分安全网站杀毒讨论区无法打开,网址被指向127.0.0.1,在正常模式下HOSTS被禁止打开,重启电脑,在安全模式下打开HOSTS(如仍不能打开,将后缀改为.com)发现,很多杀毒软件厂家网址被屏蔽,无法访问和病毒更新,如下:
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
……
下述网址与上述两个相同;
safe.qq.com、360safe.com、www.mmsk.cn、www.ikaka.com、tool.ikaka.com、www.360safe.com、zs.kingsoft.com、forum.ikaka.com、up.rising.com.cn、scan.kingsoft.com、kvup.jiangmin.com、reg.rising.com.cn、update.rising.com.cn、update7.jiangmin.com、download.rising.com.cn、dnl-us1.kaspersky-labs.com、 dnl-us2.kaspersky-labs.com、 dnl-us3.kaspersky-labs.com、 dnl-us4.kaspersky-labs.com、 dnl-us5.kaspersky-labs.com、 dnl-us6.kaspersky-labs.com、 dnl-us7.kaspersky-labs.com、 dnl-us8.kaspersky-labs.com、 dnl-us9.kaspersky-labs.com、 dnl-us10.kaspersky-labs.com、dnl-eu1.kaspersky-labs.com、 dnl-eu2.kaspersky-labs.com、 dnl-eu3.kaspersky-labs.com、 dnl-eu4.kaspersky-labs.com、 dnl-eu5.kaspersky-labs.com、dnl-eu6.kaspersky-labs.com、dnl-eu7.kaspersky-labs.com、dnl-eu8.kaspersky-labs.com。
将文件内容清空后储存上述问题解决。
3、认为系统已经正常,重新安装瑞星软件,安装完成后发现无法启动,出现4所述现象,而且木马克星等软件基本与上述问题相同,曾将RAV.exe改名,仍无法将杀毒软件启动,怀疑木马为杀干净,有残留采用了智能杀毒伴侣、HijackThis_815汉化版扫描日志 V1.99.1未发现异常进程及服务,怀疑木马修改了注册表中启动内容,查找regedit,与HOST一样仍报“WINDOWS无法找到………REGEDIT.EXE请确定文件名是否正确后,再试一次…..”,将其改为.COM,仍无法进入,使用七星注册表修复器等第三方注册表修改器,报无法找到53文件,无法打开。将REGEDIT.EXE随意修改名称为REGEDIT3.EXE,结果顺利进入注册表编辑器。查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies,未发现杀毒软件被禁用;查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等各项正常。在查找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options时发现问题,下面罗列了很多杀毒软件和安全软件名称,并且均将其引向C:\WINDOWS\system32\drivers\gilroa.exe,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE中DEBUGGER项删除,运行RAV,OK!!终于解决问题!
该木马在注册表中禁止的安全软件名称和类型名如下:
项名称: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
类别名: <无类别>
最近写入时间: 2004-1-22 - 3:45
值 0
名称: Debugger
类型: REG_SZ
数据: C:\WINDOWS\system32\drivers\gilroa.exe
项名称: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
类别名: <无类别>
最近写入时间: 2004-1-22 - 3:45
值 0
名称: Debugger
类型: REG_SZ
数据: C:\WINDOWS\system32\drivers\gilroa.exe
………….
下列程序与上述两个相同:
avp.com、avp.exe、EGHOST.exe、iparmo.exe、iparmo.exe、IceSword.exe、kabaload.exe、KRegEx.exe、KvDetect.exe、KVMonXP.kxp、KvXP.kxp、MagicSet.exe、mmsk.exe、msconfig.com、msconfig.exe、NOD32.exe、PFW.exe、PFWLiveUpdate.exe、QQDoctor.exe、Ras.exe、Rav.exe、RavMon.exe、regedit.com、regedit.exe、runiep.exe、SREng.EXE、TrojDie.kxp、WoptiClean.exe、
4、关于无法显示隐藏文件,如下,在注册表中,查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 ,如无效果,请检查CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”,如不正确,删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、总结:
1、 杀毒软件只将上述木马杀除,但未处理木马造成的危害,值得电脑防护厂家深思;
2、 我在网上查找了很久,未发现有网友反映该木马,很奇怪,不知是否为新病毒?
3、 本人非电脑高手,仅将本次处理过程总结发到论坛上,局部可能有所偏颇疏漏,希望大家补充,并在出现类似问题时能够有所参考,之所以发到本论坛,是在报上看到最近关于熊猫烧香病毒的专题说道过本论坛上众位高手,很是钦佩,在此向各位大虾表示敬意。
但如果中了该木马的计算机由于木马屏蔽,可能是无法访问本论坛参考了,也希望能大家能多做转贴。
4、 个人认为该木马是一个非常有创意,有意思的木马,他给大家设置了一道道障碍,形成一个封闭的环,阻碍大家对文件的修改,可以看出作者的智慧,但希望作者能将聪明才智用于正途,在将来的保卫国家安全和军事斗争中贡献力量。
