- UID
- 9375
- 積分
- 133
- 威望
- 7928
- 桐幣
- 2
- 激情
- 303
- 金幣
- 0
- 在線時間
- 46 小時
- 注冊時間
- 2004-2-8
文都秀才
- 積分
- 133
 鮮花( 0)  雞蛋( 0)
|
|
<P>此病毒后經(jīng)上網(wǎng)查證得知名為"落雪"也有叫龍字傳奇的~</P><P>主要功能應(yīng)該是盜號吧?</P><P>貌似這個 </P><P>據(jù)說是一個變種����,從上次的%Windows%\services.exe變成這次的%Windows%\csrss.exe����。</P><P>這次又是%Windows%\winlogon.EXE </P><P>先煩的直接下工具整理吧!</P><P>利用第三方工具了,如去下載瑞星的注冊表修復(fù)器:<A target=_blank href="http://download.rising.com.cn/zsgj/RegClean.com">http://download.rising.com.cn/zsgj/RegClean.com</A>�����,利用它來修復(fù)一下文件關(guān)聯(lián)。 </P><P>Exe文件修復(fù) <BR><A target=_blank href="http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip">http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip</A> <BR>(測試可下����,打開Zip包,雙擊文件導(dǎo)入) </P><P>System Repair Engineer 1.0.0.262 下載:<A target=_blank href="http://www.517d.com/Software/Catalog75/1030.html">http://www.517d.com/Software/Catalog75/1030.html</A> <BR>一款全新的�����、強有力的��、可擴充的用于調(diào)整和修復(fù)你系統(tǒng)的免費工具���,在這個工具的幫助下�,你可以察覺你的系統(tǒng)故障并能夠很容易的修復(fù)他們�。本工具的前身是RegFix注冊表關(guān)鍵值修復(fù)工具。<BR>_______________________________</P><P>關(guān)鍵詞尾 exeroute�����,NtDhcp 的病毒---</P><P>這個后門共產(chǎn)生14個文件+3個快捷圖標(biāo)+2個文件夾����。<BR>注冊表部分�,<BR>除了1個Run和System.ini�,比較有特點是��,非普通地利用了EXE文件關(guān)聯(lián)���,先修改了.exe的默認(rèn)值����,改.exe從默認(rèn)的 exefile更改為winfiles�,然后再創(chuàng)建winfiles鍵值,使EXE文件關(guān)聯(lián)與木馬掛鉤����。<BR>附圖即為中毒后,任意一個EXE文件的屬性�,留意黃圈部分,“應(yīng)用程序”變成“EXE文件”</P><P>此病毒所關(guān)聯(lián)的文件如下����,絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 <BR>所以要在文件夾選項里打開顯示隱藏文件�����,然后逐個刪除,注意不要雙擊以免運行它���。</P><P>C:\Program Files\Internet Explorer\iexplore.com <BR>C:\Program Files\Common Files\iexplore.com <BR>C:\WINDOWS\1.com <BR>C:\WINDOWS\iexplore.com <BR>C:\WINDOWS\finder.com <BR>C:\WINDOWS\exeroute.exe(帶有紅色圖標(biāo)有傳奇世界圖標(biāo)的) <BR>C:\WINDOWS\Debug\*** Program.exe(也是上面那個圖標(biāo)�����,名字忘了-_- 好大好明顯非隱藏的) <BR>C:\Windows\system32\command.com 這個不要輕易刪�����,看看是不是和下面幾個日期不一樣而和其他文件日期一樣�����,如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪��,當(dāng)然系統(tǒng)文件肯定不是這段時間的����。 <BR>C:\Windows\system32\msconfig.com <BR>C:\Windows\system32\regedit.com <BR>C:\Windows\system32\dxdiag.com <BR>C:\Windows\system32\rundll32.com <BR>C:\Windows\system32\finder.com <BR>C:\Windows\system32\a.exe <BR>D:\autorun.inf <BR>D:\pagefile.com </P><P>另外還發(fā)現(xiàn)一個可疑文件:setup.exe: AntiVir報為Dropper/DMSec.A dropper</P><P>第一次嘗試清除時刪除..</P><P>這里要感謝一名為酷兒哥哥漢化的木馬探測器 V3 </P><P>還有一個頭號文件WINLOGON.EXE��,一定得刪除它�!<BR>C:\Windows\WINLOGON.EXE </P><P>這個在進程里可以看得到,有兩個�����,一個是真的,一個是假的�。 <BR>真的是小寫winlogon.exe,(不知你們的是不是)��,用戶名是SYSTEM�,<BR>而假的是大寫的WINLOGON.EXE���,用戶名是你自己的用戶名����。這個文件在進程里是中止不了的��,說是關(guān)鍵進程無法中止��,搞得跟真的一樣�����!就連在安全模式下它都會呆在你的進程里�������?梢杂霉獗P啟動進入DOS模式,把它的屬性去掉然后刪除它�����!</P><P>把那些文件刪掉后��,所有的exe文件全都打不開了�,運行cmd也不行。<BR>到C:\Windows\system32 里����,把cmd.exe文件復(fù)制出來,比如到桌面��,改名成cmd.com����,然后運行可以進入到DOS下的命令提示符。</P><P>這里還有個要說的就是</P><P>ps:由于.com文件的運行優(yōu)先級比.exe高��,即當(dāng)我們輸入命令: msconfig時�,系統(tǒng)運行的是病毒程序msconfig.com,則不是系統(tǒng)配置程序msconfig.exe!<BR>而此馬生成文件居多為.com的.為其再次存活增加不少本錢~<BR>看來以后運行系統(tǒng)內(nèi)置命令還得指明擴展名����。</P><P> 另外,還得備以EXE文件關(guān)聯(lián)修復(fù)程序備用�。一般殺毒軟件在啟動時會檢查并修復(fù)EXE文件關(guān)聯(lián)。但在線查殺病毒是否也有這個功能還是未知數(shù)</P><P>再打入以下的命令: <BR>assoc .exe=exefile (assoc與.exe之間有空格) <BR>ftype exefile="%1" %* <BR>這樣exe文件就可以運行了���。 </P><P>運行regedit��,進注冊表,到<BR>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<BR>里面����,有一個Torjan pragramme,這個明擺著“我是木馬”��,刪�。</P><P>開機進入系統(tǒng)時會跳出一個警告框����,說文件"1"找不到。再運行“regedit”����,打開注冊表����,在<BR>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]<BR>中把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" </P><P>大家也可以用RegFix恢復(fù)下~~</P> |
|
IP卡
狗仔卡
發(fā)表于 2006-9-19 18:41:10
QQ好友和群
QQ空間
收藏
轉(zhuǎn)播
分享
淘帖
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
千斤頂
顯身卡
樓主
