|
(發在卡卡的一個帖子轉到這裏來,方便大家查閱) 最近通過木馬下載器下載的木馬羣日益猖獗,寫過一些分析,但比較零散,現在總結一下最近流行的一些木馬羣的查殺方法 1.*man.dll,*pri.dll等木馬羣的清除 2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等隨機7位字母的dll木馬羣的查殺 3.rav*mon.exe,rav*mon.dat木馬羣的清除 4.*door0.dll木馬羣的查殺 5.auto.exe及其下載的木馬羣的處理 6.關於此類病毒的防範方法
 打開sreng 啓動選項 查看
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks 一欄 記住*man.dll的那些名字 比如本例中的mxbman.dll,ztaman.dll 然後還是搜索這些文件 然後把他們重命名 重啓計算機 雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定 點擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕) 從左邊的資源管理器 進入系統所在磁盤(默認C盤) 刪除你重命名的那些 %system32%/*pri.dll %system32%/*man.dll 2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等隨機7位字母的dll木馬羣的查殺
sreng日誌一般反映如下: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:/WINDOWS/system32/rsmyapm.dll> [] <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:/WINDOWS/system32/kvdxbma.dll> [] <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:/WINDOWS/system32/kvmxcma.dll> [] <{1960356A-458E-DE24-BD50-268F589A56A1}><C:/WINDOWS/system32/avwlamn.dll> [] <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:/WINDOWS/system32/rsjzapm.dll> [] <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:/WINDOWS/system32/avzxamn.dll> [] <{37D81718-1314-5200-2597-587901018073}><C:/WINDOWS/system32/kaqhczy.dll> [] 特徵爲隨機的7位字母dll 解決方法: 重命名大法! 打開sreng 啓動項目 註冊表 查看[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]下面的隨機7位字母的dll文件,記住他們的名字 然後 雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定 打開C:/windows/system32文件夾 單擊上面的搜索按鈕 更多高級選項中 要鉤選 搜索隱藏的文件和文件夾 分別搜索你記下來的那些隨機7位的dll  右鍵分別把 這些文件重命名 命名的名字自己要記住 最好有規律
重啓計算機後 打開sreng 啓動項目 註冊表 刪除如下項目 (即你剛纔在啓動項目中看見的所有隨機7位字母dll的項目) [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:/WINDOWS/system32/rsmyapm.dll> [] <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:/WINDOWS/system32/kvdxbma.dll> [] <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:/WINDOWS/system32/kvmxcma.dll> [] <{1960356A-458E-DE24-BD50-268F589A56A1}><C:/WINDOWS/system32/avwlamn.dll> [] <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:/WINDOWS/system32/rsjzapm.dll> [] <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:/WINDOWS/system32/avzxamn.dll> [] <{37D81718-1314-5200-2597-587901018073}><C:/WINDOWS/system32/kaqhczy.dll> [] 並刪除剛纔重命名的那些dll文件 3.rav*mon.exe,rav*mon.dat等木馬羣的清除
sreng日誌一般反映如下 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] <ravmhmon><C:/Program Files/NetMeeting/ravmhmon.exe> [] <ravztmon><C:/Program Files/NetMeeting/ravztmon.exe> [] <ravqjmon><C:/Program Files/NetMeeting/ravqjmon.exe> [] <ravzxmon><C:/Program Files/NetMeeting/ravzxmon.exe> [] <ravmsmon><C:/Program Files/NetMeeting/ravmsmon.exe> [] 特徵爲rav*mon.exe的啓動項目 並在同文件夾下能夠發現很多rav*mon.dat 清除辦法: 打開sreng 啓動項目 註冊表 刪除如下項目 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] <ravmhmon><C:/Program Files/NetMeeting/ravmhmon.exe> [] <ravztmon><C:/Program Files/NetMeeting/ravztmon.exe> [] <ravqjmon><C:/Program Files/NetMeeting/ravqjmon.exe> [] <ravzxmon><C:/Program Files/NetMeeting/ravzxmon.exe> [] <ravmsmon><C:/Program Files/NetMeeting/ravmsmon.exe> [] 即rav*mon.exe的項目 重啓計算機 雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定 刪除rav*mon.exe和同文件夾下的rav*mon.dat 4.*door0.dll木馬羣的查殺
sreng日誌一般反映如下 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/*door0.dll> 如下面的例子 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/wldoor0.dll> [] <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:/WINDOWS/system32/wmdoor0.dll> [] <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:/WINDOWS/system32/qjdoor0.dll> [] <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:/WINDOWS/system32/dadoor0.dll> [] <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:/WINDOWS/system32/mydoor0.dll> [] <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:/WINDOWS/system32/qhdoor0.dll> [] ... 解決辦法: 重啓計算機進入安全模式下(一定是在安全模式下纔可以!) 進入安全模式後不要打開任何其他程序,因爲病毒會插入由explorer.exe啓動的任何程序 還是打開任務管理器 結束explorer進程 然後 點擊 任務管理器菜單欄 文件-新建任務-輸入cmd 確定 打開了命令行窗口 在命令行窗口中進入%system32%文件夾 然後 輸入 del *door0.dll /f /q 點擊 任務管理器菜單欄 文件-新建任務-輸入explorer.exe 確定  打開sreng
啓動項目 註冊表 刪除如下項目 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/wldoor0.dll> [] <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:/WINDOWS/system32/wmdoor0.dll> [] <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:/WINDOWS/system32/qjdoor0.dll> [] <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:/WINDOWS/system32/dadoor0.dll> [] <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:/WINDOWS/system32/mydoor0.dll> [] <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:/WINDOWS/system32/qhdoor0.dll> [] (等所有*door0.dll的項目) PS:10.4 發現新變種 處理方法見http://hi.baidu.com/newcenturysun/blog/item/0b0bac99424b0a0b6e068c1a.html
5.auto.exe及其下載的木馬羣的處理
這個病毒在http://hi.baidu.com/newcenturysun/blog/item/07f2f31132008ac4a6ef3f46.html 已經有詳細說明,大家可以參考。需要說明的是一定要首先清除隨機8個字母和數字組合成的exe和dll文件和各個分區下的auto.exe。否則即便你把木馬羣清除掉以後,它們還會給你重新下載! 6.關於此類病毒的防範方法:
此病毒一般通過U盤等移動存儲傳播,所以如果你電腦最近有插過移動存儲,那麼大致可以判斷病毒是從移動存儲傳播到你的電腦裏的。 對於此類病毒,除了安裝並及時升級殺毒軟件,防火牆和系統補丁以外,還需做到以下幾點! 1.關閉自動播放 在“開始”菜單的“運行”框中運行“gpedit.msc”命令,在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統”菜單中的“關閉自動播放”的設置,在其屬性裏面選擇“已啓用”,接着選擇“所有驅動器”,最後確定保存即可。 2.鎖住某些註冊表權限 開始-運行-輸入regedit,展開HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2,右鍵單擊這個鍵,權限,把管理員的權限設置爲拒絕。 3.可以使用某些第三方的U盤病毒免疫工具對系統進行免疫 如超級巡警的U盤病毒免疫器:http://update3.dswlab.com/antiautorun.zip 4.克服拿來陌生U盤就雙擊打開的方法!!! 最安全的打開U盤方式如下 打開我的電腦 點擊菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)  從左邊的資源管理器 進入U盤
 |
