这是个很下流的木马下载器。配置差些的电脑,中了这个,恐怕会被耗尽资源而宕机。
样本来源:
http://bbs.2dai.com/viewthread.php?tid=522051&extra=page%3D1
我的处理流程:
1、先结束所有病毒进程及病毒打开的应用程序进程(见附图)
2、然后,将那些不能直接删除的dll文件交给SSM处理一下(见附图)。
3、用IceSword删除病毒篡改的注册表内容(见附图)。不能删除的个别项目——用SREng编辑一下。
4、用IceSword删除病毒文件(见附图)。
5、将系统日期改回正确的日期。
6、编辑注册表
将[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 的数据改成 1
将[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SupperHidden]
CheckedValue 的数据改成 1
7、还有一些病毒添加到注册表的的垃圾项,可以用TuneUp之类的工具打扫一下(逐个收拾会累死)。
注意:中了这个下载器,扫SRENG日志并不能反应出所有问题。动手杀毒前,建议中招者配合使用autoruns或IceSword等工具,先做好侦查工作。
——————
以下是染毒后的SRENG日志:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
<CdnCtr><C:\Program Files\CNNIC\Cdn\cdnup.exe> [CNNIC]
<sysExp><C:\windows\system32\SysExp.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\wzkSP.exe,rundll32.exe C:\windows\system32\winsys16_070124.dll start> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptimg]
<WinlogonNotify: cryptimg><cryptimg.dll> [Microsoft Corporation]
==================================
[Windows Install Helper / BRGNS][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\PEWSM.DLL,Export 1087><N/A>
[Remote Registry Protect / ClipArt][Stopped/Auto Start]
<C:\windows\System32\svchost.exe -k netsvcs-->C:\windows\system32\gnkue.dll><Microsoft Corporation>
==================================
驱动程序
[pchks / pchks][Running/Disabled]
<\??\C:\DOCUME~1\baohelin\LOCALS~1\Temp\pchkscvg><N/A>
[voodoo / voodoo][Running/Auto Start]
<\??\C:\windows\system32\drivers\voodoo.sys><N/A>
[cdnprot / cdnprot][Running/Boot Start]
<\SystemRoot\system32\drivers\cdnprot.sys><中国互联网络信息中心(CNNIC)>
[dhdidcbd / dhdidcbd][Stopped/Boot Start]
<\SystemRoot\system32\drivers\dhdidcbd.sys><中国互联网络信息中心(CNNIC)>
==================================
浏览器加载项
[CdnForIE Class]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC>
[]
{6671A431-5C3D-463d-A7CF-5587F9B7E191} <C:\PROGRA~1\.dll, >
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[XTTBPos00 Class]
{BBBE1C1A-89F7-4AF6-ABD1-1A1DE1C6962A} <C:\PROGRA~1\SOFATO~1\sofa.dll, IE Toolbar>
[CdnForIE Class]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC>
[sofa]
{B7D3E479-CC68-42B5-A338-B5A0E057163B} <C:\Program Files\SofaToolbar\sofa.dll, IE Toolbar>
[sofa]
{B7D3E479-CC68-42B5-A338-B5A0E057163B} <C:\Program Files\SofaToolbar\sofa.dll, IE Toolbar>
[实用搜索工具条2.0]
{03465FF5-00AE-411a-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[实用搜索工具条2.0]
{03465FF5-00AE-411A-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[CdnForIE Class]
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC>
[]
{6671A431-5C3D-463D-A7CF-5587F9B7E191} <C:\PROGRA~1\.dll, >
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[sofa]
{B7D3E479-CC68-42B5-A338-B5A0E057163B} <C:\Program Files\SofaToolbar\sofa.dll, IE Toolbar>
[XTTBPos00 Class]
{BBBE1C1A-89F7-4AF6-ABD1-1A1DE1C6962A} <C:\PROGRA~1\SOFATO~1\sofa.dll, IE Toolbar>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>
==================================
Autorun.inf
[D:\]
[autorun]
open=uMsew.exe
shellexecute=uMsew.exe
shell\Auto\command=uMsew.exe
shell=Auto