- UID
- 9375
- 积分
- 133
- 威望
- 7928
- 桐币
- 2
- 激情
- 303
- 金币
- 0
- 在线时间
- 46 小时
- 注册时间
- 2004-2-8
文都秀才
- 积分
- 133
 鲜花( 0)  鸡蛋( 0)
|
|
<P>此病毒后经上网查证得知名为"落雪"也有叫龙字传奇的~</P><P>主要功能应该是盗号吧?</P><P>貌似这个 </P><P>据说是一个变种,从上次的%Windows%\services.exe变成这次的%Windows%\csrss.exe。</P><P>这次又是%Windows%\winlogon.EXE </P><P>先烦的直接下工具整理吧!</P><P>利用第三方工具了,如去下载瑞星的注册表修复器:<A target=_blank href="http://download.rising.com.cn/zsgj/RegClean.com">http://download.rising.com.cn/zsgj/RegClean.com</A>,利用它来修复一下文件关联。 </P><P>Exe文件修复 <BR><A target=_blank href="http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip">http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip</A> <BR>(测试可下,打开Zip包,双击文件导入) </P><P>System Repair Engineer 1.0.0.262 下载:<A target=_blank href="http://www.517d.com/Software/Catalog75/1030.html">http://www.517d.com/Software/Catalog75/1030.html</A> <BR>一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。本工具的前身是RegFix注册表关键值修复工具。<BR>_______________________________</P><P>关键词尾 exeroute,NtDhcp 的病毒---</P><P>这个后门共产生14个文件+3个快捷图标+2个文件夹。<BR>注册表部分,<BR>除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。<BR>附图即为中毒后,任意一个EXE文件的属性,留意黄圈部分,“应用程序”变成“EXE文件”</P><P>此病毒所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 <BR>所以要在文件夹选项里打开显示隐藏文件,然后逐个删除,注意不要双击以免运行它。</P><P>C:\Program Files\Internet Explorer\iexplore.com <BR>C:\Program Files\Common Files\iexplore.com <BR>C:\WINDOWS\1.com <BR>C:\WINDOWS\iexplore.com <BR>C:\WINDOWS\finder.com <BR>C:\WINDOWS\exeroute.exe(带有红色图标有传奇世界图标的) <BR>C:\WINDOWS\Debug\*** Program.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的) <BR>C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。 <BR>C:\Windows\system32\msconfig.com <BR>C:\Windows\system32\regedit.com <BR>C:\Windows\system32\dxdiag.com <BR>C:\Windows\system32\rundll32.com <BR>C:\Windows\system32\finder.com <BR>C:\Windows\system32\a.exe <BR>D:\autorun.inf <BR>D:\pagefile.com </P><P>另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper</P><P>第一次尝试清除时删除..</P><P>这里要感谢一名为酷儿哥哥汉化的木马探测器 V3 </P><P>还有一个头号文件WINLOGON.EXE,一定得删除它!<BR>C:\Windows\WINLOGON.EXE </P><P>这个在进程里可以看得到,有两个,一个是真的,一个是假的。 <BR>真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,<BR>而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里。可以用光盘启动进入DOS模式,把它的属性去掉然后删除它!</P><P>把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。<BR>到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com,然后运行可以进入到DOS下的命令提示符。</P><P>这里还有个要说的就是</P><P>ps:由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!<BR>而此马生成文件居多为.com的.为其再次存活增加不少本钱~<BR>看来以后运行系统内置命令还得指明扩展名。</P><P> 另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数</P><P>再打入以下的命令: <BR>assoc .exe=exefile (assoc与.exe之间有空格) <BR>ftype exefile="%1" %* <BR>这样exe文件就可以运行了。 </P><P>运行regedit,进注册表,到<BR>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<BR>里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!</P><P>开机进入系统时会跳出一个警告框,说文件"1"找不到。再运行“regedit”,打开注册表,在<BR>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]<BR>中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" </P><P>大家也可以用RegFix恢复下~~</P> |
|
IP卡
狗仔卡
发表于 2006-9-19 18:41:10
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
