auto.exe(Trojan.IMMSG.Win32.TBMSG)及其下载的木马群的处理
此病毒最近十分流行,究其原因就是大家不注意类似通过U盘传播的病毒的防护,拿来U盘(移动存储)设备就双击,导致病毒十分容易的通过U盘传播。<br/>此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后,在%system32%下面生成一个随机8个字母和数字组合成的exe文件<br/>并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程<br/><br/>以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称<br/><br/>并在每个磁盘的根目录下生成一个auto.exe和autorun.inf<br/><br/>本例中生成物如下:<br/>C:\WINDOWS\system32\E2050308.DLL<br/>C:\WINDOWS\system32\F2F187EC.EXE<br/>注册为如下服务:B12E7AC4<br/><br/>连接网络下载木马,木马下载的种类千变万化,所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。<br/><br/><br/>本例中木马植入完毕以后生成如下文件<br/>C:\WINDOWS\system32\AVPSrv.dll<br/>C:\WINDOWS\system32\cmdbcs.dll<br/>C:\WINDOWS\system32\DbgHlp32.dll<br/>C:\WINDOWS\system32\DiskMan32.dll<br/>C:\WINDOWS\system32\Kvsc3.dll<br/>C:\WINDOWS\system32\mppds.dll<br/>C:\WINDOWS\system32\MsIMMs32.dll<br/>C:\WINDOWS\system32\nslookupi.exe<br/>C:\WINDOWS\system32\NVDispDrv.dll<br/>C:\WINDOWS\system32\upxdnd.dll<br/>C:\WINDOWS\system32\WinForm.dll<br/>C:\WINDOWS\AVPSrv.exe<br/>C:\WINDOWS\cmdbcs.exe<br/>C:\WINDOWS\DbgHlp32.exe<br/>C:\WINDOWS\DiskMan32.exe<br/>C:\WINDOWS\Kvsc3.exe<br/>C:\WINDOWS\mppds.exe<br/>C:\WINDOWS\MsIMMs32.exe<br/>C:\WINDOWS\NVDispDrv.exe<br/>C:\WINDOWS\upxdnd.exe<br/>C:\WINDOWS\WinForm.exe<br/>...<br/><br/>对应的sreng日志如下:<br/><br/><mppds><C:\WINDOWS\mppds.exe> []<br/><Kvsc3><C:\WINDOWS\Kvsc3.exe> []<br/><DiskMan32><C:\WINDOWS\kterzx.exe> []<br/><WinForm><C:\WINDOWS\WinForm.exe> []<br/><AVPSrv><C:\WINDOWS\AVPSrv.exe> []<br/><MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []<br/><cmdbcs><C:\WINDOWS\cmdbcs.exe> []<br/><DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []<br/><upxdnd><C:\WINDOWS\upxdnd.exe> []<br/><NVDispDrv><C:\WINDOWS\kterzx.exe> []<br/><br/><MSDWG32><LYLoadbr.exe> <br/><MSDCG32 ><LYLeador.exe> <br/><MSDOG32><LYLoador.exe> <br/><MSDSG32><LYLoadar.exe> <br/><MSDMG32><LYLoadmr.exe> <br/><MSDHG32><LYLoadhr.exe> <br/><MSDQG32><LYLoadqr.exe> <br/>==================================<br/>服务<br/><br/><C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation><br/>==================================<br/>正在运行的进程<br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/>==================================<br/>Autorun.inf<br/><br/><br/>open=auto.exe<br/>shellexecute=auto.exe<br/>shell\Auto\command=auto.exe<br/><br/><br/>open=auto.exe<br/>shellexecute=auto.exe<br/>shell\Auto\command=auto.exe<br/><br/><br/>open=auto.exe<br/>shellexecute=auto.exe<br/>shell\Auto\command=auto.exe<br/><br/><br/> <strong>查杀方法:<br/></strong>一.清除病毒主程序(随机8位字母和数字组合的exe和dll)<br/><b>必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll,因为他是木马群的万恶之源!!</b><br/>1.首先下载sreng这个软件(http://download.kztechs.com/files/sreng2.zip)<br/>解压缩后运行srengps.exe<br/>依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”<br/>等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务<br/>然后选中下面的 “删除服务” 并单击设置按钮<br/>在弹出的框中点“否”<br/>2.重启计算机进入安全模式下<br/><br/>把下面的代码拷入记事本中然后另存为1.reg文件<br/>Windows Registry Editor Version 5.00<br/><br/><br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30500"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000001<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51105"<br/><br/>双击1.reg把这个注册表项导入<br/><br/>双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定<br/>点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)<br/>删除如下文件<br/>C:\auto.exe<br/>C:\autorun.inf<br/>以及每个分区下面的auto.exe和autorun.inf<br/><br/>%system32%文件夹下的随机8个字母和数字组合的exe和dll<br/>即本例中的C:\WINDOWS\system32\E2050308.DLL<br/>C:\WINDOWS\system32\F2F187EC.EXE<br/><br/>至此病毒主程序已经被删除了,接下来清除其下载的木马<br/> 二.清除病毒下载的木马<b>(由于每个变种下载的木马不尽相同,因此本例仅供参考)</b><br/>还是在安全模式下<br/>打开sreng<br/>启动项目 注册表 删除如下项目 <br/><br/><mppds><C:\WINDOWS\mppds.exe> []<br/><Kvsc3><C:\WINDOWS\Kvsc3.exe> []<br/><DiskMan32><C:\WINDOWS\kterzx.exe> []<br/><WinForm><C:\WINDOWS\WinForm.exe> []<br/><AVPSrv><C:\WINDOWS\AVPSrv.exe> []<br/><MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []<br/><cmdbcs><C:\WINDOWS\cmdbcs.exe> []<br/><DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []<br/><upxdnd><C:\WINDOWS\upxdnd.exe> []<br/><NVDispDrv><C:\WINDOWS\kterzx.exe> []<br/><msccrt><C:\WINDOWS\msccrt.exe> []<br/><br/><MSDWG32><LYLoadbr.exe> <br/><MSDCG32 ><LYLeador.exe> <br/><MSDOG32><LYLoador.exe> <br/><MSDSG32><LYLoadar.exe> <br/><MSDMG32><LYLoadmr.exe> <br/><MSDHG32><LYLoadhr.exe> <br/><MSDQG32><LYLoadqr.exe> <br/><br/>双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定<br/>点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)<br/>在左边的资源管理器中打开C盘(系统盘)<br/>删除如下文件<br/>C:\WINDOWS\mppds.exe<br/>C:\WINDOWS\Kvsc3.exe<br/>C:\WINDOWS\kterzx.exe<br/>C:\WINDOWS\WinForm.exe<br/>C:\WINDOWS\AVPSrv.exe<br/>C:\WINDOWS\MsIMMs32.exe<br/>C:\WINDOWS\cmdbcs.exe<br/>C:\WINDOWS\DbgHlp32.exe<br/>C:\WINDOWS\upxdnd.exe<br/>C:\WINDOWS\kterzx.exe<br/>C:\WINDOWS\system32\mppds.dll<br/>C:\WINDOWS\system32\upxdnd.dll<br/>C:\WINDOWS\system32\AVPSrv.dll<br/>C:\WINDOWS\system32\DiskMan32.dll<br/>C:\WINDOWS\system32\NVDispDrv.dll<br/>C:\WINDOWS\system32\MsIMMs32.dll<br/>C:\WINDOWS\system32\WinForm.dll<br/>C:\WINDOWS\system32\cmdbcs.dll<br/>C:\WINDOWS\system32\DbgHlp32.dll<br/>C:\WINDOWS\system32\Kvsc3.dll<br/><br/><b>最后需要修复或者重装瑞星杀毒软件,并一定修改你的网络游戏密码。</b><br/> 另外此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。<br/><b>对于此类病毒,烦请大家做好如下预防工作,不要再让这类病毒扩散了。</b>(这种东西下载的木马很多,看日志眼都会花的)<br/><br/>1.关闭自动播放<br/>在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。<br/><br/>2.锁住某些注册表权限<br/>开始-运行-输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。<br/><br/>3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫<br/>如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip<br/><br/>4.<font color="#ff0000"><b>克服拿来陌生U盘就双击打开的方法!!!</b></font><br/>最安全的打开U盘方式如下<br/>打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)<br/>从左边的资源管理器 进入U盘(同上面清除病毒时打开磁盘分区的方法)<br/> <p>这2天抗击了2台中该毒的机子。比较麻烦。卡巴杀不死。大家要注意</p> 路过....................
页:
[1]