|
 | 作者: hug1979 [hug1979]
 论坛用户 |
登录 |
| 无意中下了这个软件(http://free.wishinfo.com/jjoi/mp/wanmp281.exe ) 噩梦从此开始 重启机器后有以下现象: 右键打不开桌面属性 C盘里文件夹都成了共享(而且文件夹共享还改不回来) D、E盘打不开 网上邻居里多出很多如“OK01hug\\”、“OK02hug\\”之类的。(我计算机名为“hug”),本来是一个邻居也没有 求各位高手帮忙 我“五一”刚买的新机啊 |
| 地主 发表时间: 05/19 13:52 |
 | 回复: CyberSpy [cyberspy]  论坛用户 |
登录 |
|
~首先请您不用着急~ 下载之后直接运行wanmp281.exe大小为224 KB(对了,奇怪我不能上那个网站却只能down这个文件,迷茫中 ^_^) 症状: 1.正如你所说,直接在资源管理器里面双击盘符是打不开的,但是点鼠标右键,就将看见不同:自动播放,这个就是因为在跟目录下生成了一个autorun.inf的类似光盘自动运行的东西,他指向的为同文件夹下二级目录下的病毒文件; 2.在每个分区二级目录下生成十几个大小为167kb或者168kb文件名随机,图标为著名软件“追捕”一样的后缀为exe的可执行文件;在c盘跟目录下生成一个图象文件:bao.jpg,就是什么“招财进宝”的一张图; 3.多了一个YVGN的进程(这个进程我两次都是一样,你的也应该一样); 4.通过修改注册表,修改一些文件的打开方式,有chm,exe,txt,reg,scr,ini; 5.注册了一个名为SIML.EXE的服务,并设置属性为自动,即是系统启动则自动运行; 不过由于我们的系统环境不同,可能还有很多症状我没有发现,但是应该还是大致掌握了这个家伙。 具体解决办法: 由于修改了exe文件的打开方式,所以清除起来比较麻烦,但是有没有看见:他没有修改com文件的打开方式,所以还是好办。 请跟我一步一步来手工清除这个坏蛋,注意顺序哦!。(我手上没有杀毒软件,找一个朋友帮忙用金山毒霸看了一下没有报毒,看来可能还是新东西。但是不要怕,我们慢慢来搞定它 ^_^) 初步分析了一下,这个是用vb编写的,应用网络文件共享和邮件传播,smtp邮件服务器固定,是一款盗密码的木马!利用了ie的iframe漏洞,伪装为flash文件,骗取用户执行。由于这个是基于base64编码和用asp加壳 和加密,所以具体的深入分析就没有进行,希望有兴趣的朋友分析一下吧。 步骤: 1.取消文件夹选项中的隐藏系统文件和显示所有文件极其后缀名,关掉所有资源管理器窗口和应用程序; 2.下载超级兔子魔法设置或者windows优化大师(第一次我是用手工清除的,很烦琐); 3.杀掉SIML.EXE(可以用系统自带的任务管理器,按住ctrl+alt+del三键); 4.用超级兔子修改注册表,改回文件关联 手工也可以:注册表中被修改的键,文件关联chm,exe,txt,reg,scr,ini全被修改! HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\@ Old value: ""C:\WINDOWS\hh.exe" %1" New value: "E:\index.files\LDRLFS.EXE %1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@ Old value: ""%1" %*" New value: "F:\Recycled\EYYDLXK.EXE "%1" %*" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\@ Old value: %SystemRoot%\System32\NOTEPAD.EXE %1 New value: "E:\dubav\FUXGTP.EXE %1" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\@ Old value: "regedit.exe "%1"" New value: "D:\LINUXGLY\VLH.EXE "%1"" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command\@ Old value: ""%1" /S" New value: "D:\进程说明\YFEK.EXE "%1"" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@ Old value: %SystemRoot%\system32\NOTEPAD.EXE %1. New value: "F:\天下足球十大\YBGEJZ.EXE %1" 新增的键,开机启动自动运行,开启默认共享和新增系统服务,以及指定邮件服务器等 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OGOA.EXE Value: "D:\System Volume Information\OGOA.EXE" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SIML.EXE …………………………这下面很多的键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\auto_share Value: "WQ==" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\fanggai_mima Value: "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\fasong_youxiang Value: "YW5vazg4OEAxNjMuY29t" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\fasong_zhuti Value: "bXltYWls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\mima_wenjian Value: "zt4=" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\smtp_fuwuqi Value: "c210cC4xNjMuY29t" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\workfil Value: "RDpcU3lzdGVtIFZvbHVtZSBJbmZvcm1hdGlvblxZVkdOLkVYRQ==" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\yonghu_ming Value: "YW5vazg4OA==" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\win70\youxiang_mima Value: "bGRtYmhsMmI=" 对付以上的恶意修改,请根据上面的提示改回来和删除新增加的键; 5.再看一下那个进程SIML.EXE还在不,在的话,再结束掉; 6.查找病毒文件:这里用到高级搜索:查找所有exe文件,文件修改日期为当天,大小小于250kb(其实是167和 168kb),然后彻底删除,注意这里要确保文件关联已经修改回来了,否则以后可能会打不开文件,甚至系统都 进不了哦 !!!还有那个bao.jpg图象文件也删除掉吧!还有这个罪魁祸首哦:wanmp281.exe; 7.在进入dos,用del删除掉那几个分区跟目录下的autorun.inf; 8.至于开机分区默认共享,请查看其他方法去掉的,这个很容易的; 9.重新启动机子,应该可以了; 10.最后强烈建议顺手用超级兔子或者优化大师再优化一下系统,清除注册表中的垃圾等等。 祝您好运,反正我是可以完全清除的哦~~ 注意这个病毒由于比较“狡猾”,没有在系统目录下生成一些病毒文件,而是在其他分区中生成,这样虽然损失了隐蔽性,但是让一些认为格式化系统盘就可以解决问题的人失望了,因为即使系统盘被格了,只要一浏览其他分区,他还是自动运行了!呵呵! |
| B1层 发表时间: 05/19 23:26 |
| 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
现在又发现新情况 处理中……………… 我靠,这只鸟~ |
| B2层 发表时间: 05/19 23:36 |
 | 回复: waiting [waiting] 论坛用户 |
登录 |
|
~~~版主不错 |
| B3层 发表时间: 05/20 08:34 |
| 回复: somy [gefujian]  论坛用户 |
登录 |
|
关注中,请版主继续,多谢! |
| B4层 发表时间: 05/20 14:49 |
| 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
引用: 其实实际已经清除掉了,只是我用超级兔子压缩注册表的时候造成了错误,我还以为是那只木马造成的! 仔细查了一下资料,原来是很旧的一只木马:盗“边锋游戏”密码,其实是2002年9月就有了!!各大杀毒厂商的杀毒软件早就加入了他! 哎,看来,还是需要一款杀毒软件了! 推荐使用20cn软件下载里面的诺顿!! 另外这只木马会没5秒扫描注册表监控exe的文件关联,所以手工清除的时候一定要杀掉进程再修改关联!! |
| B5层 发表时间: 05/20 18:23 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 中招了!求助!!!!!