注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

petcon的博客

私人所用

 
 
 

日志

 
 

txwslhg.exe杀毒作业  

2007-08-14 13:10:49|  分类: 电脑技巧 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
txwslhg.exe杀毒作业 - petcon - petcon的博客

昨天遇到了一个超强的病毒。我是第一次亲身遇到可以破除我的U盘免疫的病毒(当然这个方法这个不是我发明的,是网上看的)。但是这个病毒,竟然可以把autorun.inf重命名。。。唉,彻底无语了。病毒都是人编的,越来越先进啊。不过没有试试我的第二种免疫的方法,因为U盘不在身边。(08-8-15更新,第二种免疫方法也不能幸免,他会重命名autorun.inf文件夹。)

这个病毒不过是加了壳的av终结者的变种q,瑞星就查不出来了。可笑的是有人将此文件上报给瑞星,瑞星竟然说经过详细分析,不是病毒。唉。。不说什么了。所以我说完全想依靠杀毒软件那是肯定要中毒的。详细原理我就不讲了,只讲讲怎么杀掉他的。

首先百度是个好东西,百度了一下就百度到了,然后照他的说法就搞定了。下面把说法贴上来。(文件名是会随机变的)

以下来自中天论坛的这个帖。

文件名称:obdaxmi.exe
文件大小:65118 bytes
AV命名:Virus.Win32.AutoRun.f
加壳方式:NsPack
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:AV Killer
文件MD5:B7F5DEDF88BFB66B094B2ABFE804341F
文件SHA1:24218F7784B5CCF8CD1B1037C0287EE8157B4EF1
传播方式:U盘等移动介质、网络。

行为分析:

1、释放病毒副本:

C:\Program Files\meex.exe     65118 字节
C:\Program Files\Common Files\Microsoft Shared\pyqmcfy.inf     169 字节
C:\Program Files\Common Files\Microsoft Shared\txofyde.exe     65118 字节
C:\Program Files\Common Files\System\obdaxmi.exe     65118 字节
C:\Program Files\Common Files\System\pyqmcfy.inf 169 字节
(PS:文件名是随机的,可能不固定!)

遍历分区(D—Z盘),尝试在磁盘目录下生成:

X:\autorun.inf     169 字节
X:\swaanck.exe     65118 字节
双击磁盘则激活病毒。

2、txofyde.exe和obdaxmi.exe“相濡以沫”,使用进程守护技术,如发现对方被结束,则重新激活。

3、写注册表,开机自启:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
C:\Program Files\Common Files\System\obdaxmi.exe
C:\Program Files\Common Files\Microsoft Shared\txofyde.exe

4、驻进程病毒,以每秒为周期访问Run注册表项,如发现不再或被修改则重写。

5、每隔3秒检测(可用)磁盘下的Autorun.inf和指向的病毒,如不在则生成。
(注意:移动盘也遭殃)

5、破坏安全模式,删除注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot下
Minimal和Network的一些键值,导致系统无法进入安全模式。

6、修改注册表,破坏显示隐藏文件功能:

…………\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

REG_DWORD, 1 修改为REG_DWORD, 0

7、为了保证磁盘的自动播放功能,修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
NoDriveTypeAutoRun = REG_DWORD, 145
(如原值是145则跳过)

8、IFEO重定向劫持,这次最要命的是连QQ自动升级都不放过``` =。=

指向的是:C:\Program Files\Common Files\Microsoft Shared\txofyde.exe

瀑布汗,我列一部分吧``仅仅只是一小部分``:


txwslhg.exe杀毒作业 - petcon - petcon的博客

 

9、反弹连接222.172.81.* (黑龙江省佳木斯市 电信)下载木马,不过未实现。。

10、枚举进程,尝试关闭:(一部分)

Ras.exe
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KsLoader.exe
KvDetect.exe
KvfwMcl.exe
kvol.exe
kvolself.exe
KVSrvXP.exe
kvupload.exe
kvwsc.exe
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
upiea.exe
AST.exe
ArSwp.exe
USBCleaner.exe
rstrui.exe

(其实就是IFEO劫持项里面的)

11、关闭出现的下列窗口文字:

"瑞星"
"专杀
":\ - WinRAR"
" ?
"System"
"Microsoft Shared"
"             2007"
"進程"
"Process"
"Sysinternals"
"Virus"
"Trojan"
"meex"
"autorun"
"噬菌体"


12、修改注册表,关闭自动更新、系统帮助和防火墙等功能。

13、查找磁盘文件,尝试删除(带路径判断):(黑吃黑了``=。=)(未实现)

MSInfo\
.dll
wniapsvr.exe
niu.exe
Shell.exe
Shell.pci
crsss.exe
directx.exe
progmon.exe
internt.exe
SoftDLL.dll
MySetup.exe
fixfile.exe
WMDSINFO.dll
Mcshie1d.exe
compobj32.dll
Web\
css.css
Com\
lsass.exe
IME\
svchost.exe
smss.exe
Debug\
debug.exe
tools\
explorer.exe
drivers\
csrss.exe
System16.ins
System16.jup
Common Files\
svchost.cnc
Relive.dll
Internet Explorer\
msvcrt.dll
Internet Explorer\PLUGINS\
SysWin64.Jmp
SysWin64.Sys
SysWin64.Tao
(以上都是病毒木马``)

有了病毒的行为分析就好办了。

首先,记得冰刃要改名否则打不开。用冰刃禁止线程创建。

具体如下,点文件--设置--禁止线程创建的勾打上。

然后在任务管理器里,结束那两个病毒进程。

然后就是手工删除病毒,首先把硬盘的autorun.inf都删掉

然后删除病毒文件,再取消冰刃的设置。

再用sreng取消所有的IFEO重定向劫持,恩,就基本搞定了。

然后用360和优化大师,收拾一下残局就ok了。

 

btw1:恩,这里推荐一下windows清理助手。不过这个也不能全信,误报的比较厉害,说我的金山词霸是后门程序,也许是后门把。但是如果杀掉金山词霸就用不了了。

btw2:开始写的越来越简略了,恩,人懒了。

 

  评论这张
 
阅读(896)| 评论(9)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017