当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Trojan.Win32.Agent.atk(server.exe)病毒手动清除 | |||
2007-8-22 16:30:54 文/孤独更可… 出处:孤独更可靠_博客 | |||
文件名称:server.exe 文件大小:35519 bytes AV命名:Trojan.Win32.Agent.atk (卡吧斯基) 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 病毒类型:后门 文件MD5:47bfcace635b88a45ddaa7c022dc0de9 文件SHA1:341fce32564b8e940b89ee24a489892c0355d8ff 行为分析: 1、释放病毒文件: %Systemroot%\system32\drivers\sysproxyed.sys %Systemroot%\system32\sysproxyed.dll 2、sysproxyed.dll 注册为系统服务。 参数为:%Systemroot%\\system32\svchost.exe -k sysproxyed,开机则由svchost.exe加载注入。 3、记录键盘操作,保存为%Systemroot%\system32\sysproxyed.drv。 4、每隔一段时间连接222.95.53.1**(江苏省南京市 (玄武区)电信ADSL)。 并发送sysproxyed.drv。 5、通过系统服务修改SSDT,使Ntquerydirectoryfile指向sysproxyed.dll ,实现R0的Hook。 6、Ntquerydirectoryfile则在枚举硬盘文件时,始终漏过: sysproxyed.dll、sysproxyed.drv、sysproxyed.sys信息。(返回失败) 系统表现为无法发现或不能对以上文件进行操作。居于R3的进程管理器更是如此。 解决方法一(推荐): down.45its.com下载IceSword120_cn.zip(以下简称冰刃) 1、关闭一切不需要的进程,断开网络。 2、打开冰刃,设置为禁止线程创建。 3、“文件”选项,删除: %Systemroot%\system32\drivers\sysproxyed.sys %Systemroot%\system32\sysproxyed.dll %Systemroot%\system32\sysproxyed.drv 后转向冰刃“注册表”功能,删除: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的 sysproxyed整个键,不要看错啊 4、设置冰刃,重启并监视,确定。 5、重启后记住一定要修改QQ、邮箱、网游等帐号! 解决方法二: 下载SYSCHECK(可到down.45its.com下载) 1、打开SYSCHECK,打开SSDT,回存Ntquerydirectoryfile。 2、并使用SYSCHECK删除sysproxyed服务。 3、重启,重启后删除文件: %Systemroot%\system32\drivers\sysproxyed.sys %Systemroot%\system32\sysproxyed.dll %Systemroot%\system32\sysproxyed.drv 解决方法三: 下载PAVARK(熊猫反RK工具),或者其他的反Rootkit工具。 用法很简单,扫描后全选,删除就可以了~~~ PS:今天硬是它耗了一早上,终于赢了,HOHO~~~ 此类非法修改SSDT比较头疼,应即使升级杀软并开好杀软监控。 预防比事后处理来的好~~ 另外有病毒带有Rookit名称的,病毒重启反复清除无效。 建议使用专业的反Rootkit工具或者使用杀软光盘进行DOS杀毒``=。= |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |