病毒现象及分析:
运行后文件变化
各个分区生成autorun.inf 和ielp.exe
右键菜单无变化
修改系统时间为2005年1月17日0:00
注册表变化
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
破坏显示隐藏文件
连接网络下载木马
读取hxxp://www.****.cn/googel.txt等下载列表文件
与%system32%\iehelp.ini进行同步
下载列表中的木马文件到%system32%下 分别命名为ie_help0.exe~ie_help2.exe
木马植入完毕以后生成如下文件
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程守护 清除办法(解决办法):
1.打开sreng
下载:sreng2:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml
打开SREng-启动项目-注册表删除如下项目:
双击shell 把其键值改为Explorer.exe
2.重启计算机进入安全模式(重启系统长按F8直到出现提示,然后选择进入安全模)
把下面的代码拷入记事本中然后另存为1.reg文件
以下是代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105" |
双击1.reg把这个注册表项导入
3.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹按钮(搜索右边的按钮),从左边的资源管理器 进入系统所在盘
删除如下文件(如遇提示无法删除文件,可下载费尔木马强制删除器工具进行强制删除)
费尔木马强制删除器工具下载:http://www.motoyi.com/Down/Noted/200706/Down_68.shtml
ielp.exe
autorun.inf
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
从左边的资源管理器 进入其他盘
删除ielp.exe和autorun.inf |
您现在的位置: 