(发在卡卡的一个帖子转到这里来,方便大家查阅)
最近通过木马下载器下载的木马群日益猖獗,写过一些分析,但比较零散,现在总结一下最近流行的一些木马群的查杀方法
索引:本帖包括
1.*man.dll,*pri.dll等木马群的清除
2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀
3.rav*mon.exe,rav*mon.dat木马群的清除
4.*door0.dll木马群的查杀
5.auto.exe及其下载的木马群的处理
6.关于此类病毒的防范方法
1.*man.dll,*pri.dll等木马群的清除
sreng日志反映如下:
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<*pri.dll>
或者 <*man.dll>
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{串码}>
<{串码}>
例如下面的日志:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
[]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}> []
<{74123FF1-8371-9834-9021-184518451FA7}> []
<{4F12545B-1212-1314-5679-4512ACEF8904}> []
<{9A65498A-7653-9801-1647-987114AB7F49}> []
...
解决方法:
重命名大法!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:/Windows/system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
打开sreng 启动选项 查看
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll,ztaman.dll
然后还是搜索这些文件 然后把他们重命名
重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入系统所在磁盘(默认C盘)
删除你重命名的那些
%system32%/*pri.dll
%system32%/*man.dll
2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀
sreng日志一般反映如下:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []
特征为随机的7位字母dll
解决方法:
重命名大法!
打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:/windows/system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹
分别搜索你记下来的那些随机7位的dll
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
重启计算机后
打开sreng
启动项目 注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []
并删除刚才重命名的那些dll文件
3.rav*mon.exe,rav*mon.dat等木马群的清除
sreng日志一般反映如下
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]
特征为rav*mon.exe的启动项目 并在同文件夹下能够发现很多rav*mon.dat
清除办法:
打开sreng
启动项目 注册表 删除如下项目
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]
即rav*mon.exe的项目
重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除rav*mon.exe和同文件夹下的rav*mon.dat
4.*door0.dll木马群的查杀
sreng日志一般反映如下
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}>
如下面的例子
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
...
解决办法:
重启计算机进入安全模式下(一定是在安全模式下才可以!)
进入安全模式后不要打开任何其他程序,因为病毒会插入由explorer.exe启动的任何程序
还是打开任务管理器 结束explorer进程 然后
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
(等所有*door0.dll的项目)
PS:10.4 发现新变种 处理方法见
http://hi.baidu.com/newcenturysun/blog/item/0b0bac99424b0a0b6e068c1a.html
5.auto.exe及其下载的木马群的处理
这个病毒在
http://hi.baidu.com/newcenturysun/blog/item/07f2f31132008ac4a6ef3f46.html 已经有详细说明,大家可以参考。需要说明的是一定要首先清除随机8个字母和数字组合成的exe和dll文件和各个分区下的auto.exe。否则即便你把木马群清除掉以后,它们还会给你重新下载!
6.关于此类病毒的防范方法:
此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒,除了安装并及时升级杀毒软件,防火墙和系统补丁以外,还需做到以下几点!
1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
2.锁住某些注册表权限
开始-运行-输入regedit,展开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。
3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip
4.克服拿来陌生U盘就双击打开的方法!!!
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入U盘