|
(发在卡卡的一个帖子转到这里来,方便大家查阅) 最近通过木马下载器下载的木马群日益猖獗,写过一些分析,但比较零散,现在总结一下最近流行的一些木马群的查杀方法 1.*man.dll,*pri.dll等木马群的清除 2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀 3.rav*mon.exe,rav*mon.dat木马群的清除 4.*door0.dll木马群的查杀 5.auto.exe及其下载的木马群的处理 6.关于此类病毒的防范方法
 打开sreng 启动选项 查看
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks 一栏 记住*man.dll的那些名字 比如本例中的mxbman.dll,ztaman.dll 然后还是搜索这些文件 然后把他们重命名 重启计算机 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 从左边的资源管理器 进入系统所在磁盘(默认C盘) 删除你重命名的那些 %system32%/*pri.dll %system32%/*man.dll 2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀
sreng日志一般反映如下: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:/WINDOWS/system32/rsmyapm.dll> [] <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:/WINDOWS/system32/kvdxbma.dll> [] <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:/WINDOWS/system32/kvmxcma.dll> [] <{1960356A-458E-DE24-BD50-268F589A56A1}><C:/WINDOWS/system32/avwlamn.dll> [] <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:/WINDOWS/system32/rsjzapm.dll> [] <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:/WINDOWS/system32/avzxamn.dll> [] <{37D81718-1314-5200-2597-587901018073}><C:/WINDOWS/system32/kaqhczy.dll> [] 特征为随机的7位字母dll 解决方法: 重命名大法! 打开sreng 启动项目 注册表 查看[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字 然后 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 打开C:/windows/system32文件夹 单击上面的搜索按钮 更多高级选项中 要钩选 搜索隐藏的文件和文件夹 分别搜索你记下来的那些随机7位的dll  右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
重启计算机后 打开sreng 启动项目 注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目) [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:/WINDOWS/system32/rsmyapm.dll> [] <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:/WINDOWS/system32/kvdxbma.dll> [] <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:/WINDOWS/system32/kvmxcma.dll> [] <{1960356A-458E-DE24-BD50-268F589A56A1}><C:/WINDOWS/system32/avwlamn.dll> [] <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:/WINDOWS/system32/rsjzapm.dll> [] <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:/WINDOWS/system32/avzxamn.dll> [] <{37D81718-1314-5200-2597-587901018073}><C:/WINDOWS/system32/kaqhczy.dll> [] 并删除刚才重命名的那些dll文件 3.rav*mon.exe,rav*mon.dat等木马群的清除
sreng日志一般反映如下 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] <ravmhmon><C:/Program Files/NetMeeting/ravmhmon.exe> [] <ravztmon><C:/Program Files/NetMeeting/ravztmon.exe> [] <ravqjmon><C:/Program Files/NetMeeting/ravqjmon.exe> [] <ravzxmon><C:/Program Files/NetMeeting/ravzxmon.exe> [] <ravmsmon><C:/Program Files/NetMeeting/ravmsmon.exe> [] 特征为rav*mon.exe的启动项目 并在同文件夹下能够发现很多rav*mon.dat 清除办法: 打开sreng 启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run] <ravmhmon><C:/Program Files/NetMeeting/ravmhmon.exe> [] <ravztmon><C:/Program Files/NetMeeting/ravztmon.exe> [] <ravqjmon><C:/Program Files/NetMeeting/ravqjmon.exe> [] <ravzxmon><C:/Program Files/NetMeeting/ravzxmon.exe> [] <ravmsmon><C:/Program Files/NetMeeting/ravmsmon.exe> [] 即rav*mon.exe的项目 重启计算机 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 删除rav*mon.exe和同文件夹下的rav*mon.dat 4.*door0.dll木马群的查杀
sreng日志一般反映如下 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/*door0.dll> 如下面的例子 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/wldoor0.dll> [] <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:/WINDOWS/system32/wmdoor0.dll> [] <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:/WINDOWS/system32/qjdoor0.dll> [] <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:/WINDOWS/system32/dadoor0.dll> [] <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:/WINDOWS/system32/mydoor0.dll> [] <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:/WINDOWS/system32/qhdoor0.dll> [] ... 解决办法: 重启计算机进入安全模式下(一定是在安全模式下才可以!) 进入安全模式后不要打开任何其他程序,因为病毒会插入由explorer.exe启动的任何程序 还是打开任务管理器 结束explorer进程 然后 点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定 打开了命令行窗口 在命令行窗口中进入%system32%文件夹 然后 输入 del *door0.dll /f /q 点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定  打开sreng
启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks] <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:/WINDOWS/system32/wldoor0.dll> [] <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:/WINDOWS/system32/wmdoor0.dll> [] <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:/WINDOWS/system32/qjdoor0.dll> [] <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:/WINDOWS/system32/dadoor0.dll> [] <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:/WINDOWS/system32/mydoor0.dll> [] <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:/WINDOWS/system32/qhdoor0.dll> [] (等所有*door0.dll的项目) PS:10.4 发现新变种 处理方法见http://hi.baidu.com/newcenturysun/blog/item/0b0bac99424b0a0b6e068c1a.html
5.auto.exe及其下载的木马群的处理
这个病毒在http://hi.baidu.com/newcenturysun/blog/item/07f2f31132008ac4a6ef3f46.html 已经有详细说明,大家可以参考。需要说明的是一定要首先清除随机8个字母和数字组合成的exe和dll文件和各个分区下的auto.exe。否则即便你把木马群清除掉以后,它们还会给你重新下载! 6.关于此类病毒的防范方法:
此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。 对于此类病毒,除了安装并及时升级杀毒软件,防火墙和系统补丁以外,还需做到以下几点! 1.关闭自动播放 在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。 2.锁住某些注册表权限 开始-运行-输入regedit,展开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。 3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫 如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip 4.克服拿来陌生U盘就双击打开的方法!!! 最安全的打开U盘方式如下 打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)  从左边的资源管理器 进入U盘
 |
