51回家在姐姐的机器上面发现一个超级变态的病毒,极为顽固不化且作恶多端
关键词尾 exeroute,NtDhcp 的病毒
---建议直接重装机器 这个后门共产生14个文件+3个快捷图标+2个文件夹。
注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。 这个病毒释放了很多病毒文件,还修改了很多注册表信息,经过一番处理,现在推荐以下步骤操作:
一. 运行ProceXP结束进程:%windows%\services.exe 和 %windows%\ExERoute.exe(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可) 注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),可以从路径和它们的图标来区分。
二. 修复exe关联
首先查找CMD.EXE文件,并将之改名为CMD.COM,这样才能进入命令行模式
输入ftype<空格 >exefile="%1"<空格 >%*<回车>
输入assoc<空格 >.exe=exefile<回车>
或者修改regedit.exe为regedit.com,打开,[HKEY_CLASSES_ROOT\exefile\shell\opencommand] 修改默认的键值为:"%1"<空格 >%*
三. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe
%Windows%\Debug\(整个文件夹)
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%Windows%一般指c:\windows%System%一般指c:\windows\system32
开始菜单\程序\下的:
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk (这三个不一定有,有就删)
注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。
四. 打开注册表编辑器(方法如前),
对注册表主要的修改:
1、将以下注册表键值的 rundll32.com finder.com command.pif 修改为 rundll32.exe
HKEY_CLASSES_ROOT\.lnk\ShellNew\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_CLASSES_ROOT\file\Shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command
HKEY_CLASSES_ROOT\inffile\Shell\Install\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\telnet\Shell\open\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\command
2、将以下键值的 iexplore.com 修改为 iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command
3、将以下键值内容修改为 %Program Files%\Internet Explorer\iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
4、将以下键值的 explorer1.com 改为 iexplore.exe
HKEY_CLASSES_ROOT\Drive\Shell\find\command
5、将以下键值的 默认 修改为 exefile
HKEY_CLASSES_ROOT\.exe
6、将以下键值的 Explorer.exe 1 修改为 Explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\Shell
7、将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\Check_Associations
8、删除病毒的注册表自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Torjan Program"="%windir%\CSRSS.exe"
9、删除其他无用数据
HKEY_CLASSES_ROOT\winfiles
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings
Monday, May 08, 2006
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment