瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序,所以导致清除掉内存中的Trojan.Win32.Agent.vti以后,重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。
下面是关于这个病毒的简要分析和查杀方法:
File: auto.exe
Size: 21551 bytes
MD5: 17397C773EFF2D052BC3CBE66512DAB1
SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
CRC32: 235B28FE
病毒生成物特点:
在%system32%下面生成一个随机8个字母和数字组合成的exe文件,并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程(瑞星报的就是这个dll)。
以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称。
并在每个磁盘的根目录下生成一个auto.exe和autorun.inf
本例中生成物如下:
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务:B12E7AC4
连接网络下载木马,木马下载的种类千变万化,所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。
本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\DbgHlp32.dll C:\WINDOWS\system32\DiskMan32.dll C:\WINDOWS\system32\E2050308.DLL C:\WINDOWS\system32\F2F187EC.EXE C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\MsIMMs32.dll C:\WINDOWS\system32\nslookupi.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\DiskMan32.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\mppds.exe C:\WINDOWS\MsIMMs32.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\WinForm.exe ... |
对应的sreng日志如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <mppds><C:\WINDOWS\mppds.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <DiskMan32><C:\WINDOWS\kterzx.exe> [] <WinForm><C:\WINDOWS\WinForm.exe> [] <AVPSrv><C:\WINDOWS\AVPSrv.exe> [] <MsIMMs32><C:\WINDOWS\MsIMMs32.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <NVDispDrv><C:\WINDOWS\kterzx.exe> [] ================================== 服务 [B12E7AC4 / B12E7AC4][Stopped/Auto Start] ================================== 正在运行的进程 [PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\mppds.dll] [N/A, ] [C:\WINDOWS\system32\upxdnd.dll] [N/A, ] [C:\WINDOWS\system32\AVPSrv.dll] [N/A, ] [C:\WINDOWS\system32\DiskMan32.dll] [N/A, ] [C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ] [C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ] [C:\WINDOWS\system32\WinForm.dll] [N/A, ] [C:\WINDOWS\system32\cmdbcs.dll] [N/A, ] [C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ] [C:\WINDOWS\system32\Kvsc3.dll] [N/A, ] [C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ] |
==================================
Autorun.inf文件信息:
[C:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [D:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe [E:\] [AutoRun] open=auto.exe shellexecute=auto.exe shell\Auto\command=auto.exe |
手动查杀方法:
一.清除病毒主程序(随机8位字母和数字组合的exe和dll)
1.首先下载sreng这个软件(可到down.45its.com下载)
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮,在弹出的框中点“否”
2.重启计算机进入安全模式下
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" |
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)。
在左边的资源管理器中打开C盘(系统盘)
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf
%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
至此病毒主程序已经被删除了,接下来清除其下载的木马
二.清除病毒下载的木马(由于每个变种下载的木马不尽相同,因此本例仅供参考)
还是在安全模式下(重启系统长按F8直到出现提示,然后选择进入安全模式)
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <mppds><C:\WINDOWS\mppds.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exe> [] <DiskMan32><C:\WINDOWS\kterzx.exe> [] <WinForm><C:\WINDOWS\WinForm.exe> [] <AVPSrv><C:\WINDOWS\AVPSrv.exe> [] <MsIMMs32><C:\WINDOWS\MsIMMs32.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <NVDispDrv><C:\WINDOWS\kterzx.exe> [] |
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹按钮(搜索右边的按钮),在左边的资源管理器中打开C盘(系统盘)。
删除如下文件
C:\WINDOWS\mppds.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\kterzx.exe C:\WINDOWS\WinForm.exe C:\WINDOWS\AVPSrv.exe C:\WINDOWS\MsIMMs32.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\kterzx.exe C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\DiskMan32.dll C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\MsIMMs32.dll C:\WINDOWS\system32\WinForm.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\DbgHlp32.dll C:\WINDOWS\system32\Kvsc3.dll |
最后需要修复或者重装瑞星杀毒软件,并一定修改你的网络游戏密码。
另外此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。对于此类病毒,烦请大家做好如下预防工作,不要再让这类病毒扩散了。(这种东西下载的木马很多,看日志眼都会花的)
1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
2.锁住某些注册表权限
开始-运行-输入regedit,展开 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。
3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫(可到down.45its.com下载)
4.克服拿来陌生U盘就双击打开的方法!!!
最安全的打开U盘方式如下:
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮),从左边的资源管理器 进入U盘(同上面清除病毒时打开磁盘分区的方法)