热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

最近流行的一些木马群的查杀方法

(发在卡卡的一个帖子转到这里来,方便大

                                         

(发在卡卡的一个帖子转到这里来,方便大家查阅)

最近通过木马下载器下载的木马群日益猖獗,写过一些分析,但比较零散,现在总结一下最近流行的一些木马群的查杀方法

索引:本帖包括

1.*man.dll,*pri.dll等木马群的清除

2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀

3.rav*mon.exe,rav*mon.dat木马群的清除

4.*door0.dll木马群的查杀

5.auto.exe及其下载的木马群的处理

6.关于此类病毒的防范方法


1.*man.dll,*pri.dll等木马群的清除
sreng日志反映如下:
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<*pri.dll>
或者 <*man.dll>
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]

<{串码}>
<{串码}>
例如下面的日志:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
[]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}> []
<{74123FF1-8371-9834-9021-184518451FA7}> []
<{4F12545B-1212-1314-5679-4512ACEF8904}> []
<{9A65498A-7653-9801-1647-987114AB7F49}> []
...

解决方法:
重命名大法!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:/Windows/system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律

打开sreng 启动选项 查看

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll,ztaman.dll
然后还是搜索这些文件 然后把他们重命名

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入系统所在磁盘(默认C盘)
删除你重命名的那些
%system32%/*pri.dll
%system32%/*man.dll
2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀

sreng日志一般反映如下:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []

特征为随机的7位字母dll

解决方法:
重命名大法!

打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

打开C:/windows/system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
重启计算机后

打开sreng
启动项目 注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []

并删除刚才重命名的那些dll文件
3.rav*mon.exe,rav*mon.dat等木马群的清除

sreng日志一般反映如下
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]


特征为rav*mon.exe的启动项目 并在同文件夹下能够发现很多rav*mon.dat

清除办法:
打开sreng
启动项目 注册表 删除如下项目
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]
即rav*mon.exe的项目

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

删除rav*mon.exe和同文件夹下的rav*mon.dat
4.*door0.dll木马群的查杀

sreng日志一般反映如下

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}>

如下面的例子
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
...

解决办法:
重启计算机进入安全模式下(一定是在安全模式下才可以!)
进入安全模式后不要打开任何其他程序
,因为病毒会插入由explorer.exe启动的任何程序
还是打开任务管理器 结束explorer进程 然后
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
(等所有*door0.dll的项目)
PS:10.4 发现新变种 处理方法见 http://hi.baidu.com/newcenturysun/blog/item/0b0bac99424b0a0b6e068c1a.html
5.auto.exe及其下载的木马群的处理
这个病毒在 http://hi.baidu.com/newcenturysun/blog/item/07f2f31132008ac4a6ef3f46.html 已经有详细说明,大家可以参考。需要说明的是一定要首先清除随机8个字母和数字组合成的exe和dll文件和各个分区下的auto.exe。否则即便你把木马群清除掉以后,它们还会给你重新下载!
6.关于此类病毒的防范方法:
此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒,除了安装并及时升级杀毒软件,防火墙和系统补丁以外,还需做到以下几点!

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。

2.锁住某些注册表权限
开始-运行-输入regedit,展开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法!!!
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入U盘

推荐阅读
  • 本文将介绍如何编写一些有趣的VBScript脚本,这些脚本可以在朋友之间进行无害的恶作剧。通过简单的代码示例,帮助您了解VBScript的基本语法和功能。 ... [详细]
  • 本文详细介绍了Java编程语言中的核心概念和常见面试问题,包括集合类、数据结构、线程处理、Java虚拟机(JVM)、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题,帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]
  • 网络攻防实战:从HTTP到HTTPS的演变
    本文通过一系列日记记录了从发现漏洞到逐步加强安全措施的过程,探讨了如何应对网络攻击并最终实现全面的安全防护。 ... [详细]
  • andr ... [详细]
  • 本文详细介绍了IBM DB2数据库在大型应用系统中的应用,强调其卓越的可扩展性和多环境支持能力。文章深入分析了DB2在数据利用性、完整性、安全性和恢复性方面的优势,并提供了优化建议以提升其在不同规模应用程序中的表现。 ... [详细]
  • 本文详细介绍如何使用Python进行配置文件的读写操作,涵盖常见的配置文件格式(如INI、JSON、TOML和YAML),并提供具体的代码示例。 ... [详细]
  • 深入解析Spring Cloud Ribbon负载均衡机制
    本文详细介绍了Spring Cloud中的Ribbon组件如何实现服务调用的负载均衡。通过分析其工作原理、源码结构及配置方式,帮助读者理解Ribbon在分布式系统中的重要作用。 ... [详细]
  • 如何配置Unturned服务器及其消息设置
    本文详细介绍了Unturned服务器的配置方法和消息设置技巧,帮助用户了解并优化服务器管理。同时,提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]
  • 本文探讨了如何在发布 XenApp 应用时,通过命令行参数实现启动时的参数传递。特别介绍了静态和动态参数传递的方法,并详细解释了 ICA 文件中两种参数传递方式的区别及安全检查机制。 ... [详细]
  • 本文介绍如何通过注册表编辑器自定义和优化Windows文件右键菜单,包括删除不需要的菜单项、添加绿色版或非安装版软件以及将特定应用程序(如Sublime Text)添加到右键菜单中。 ... [详细]
  • Hadoop入门与核心组件详解
    本文详细介绍了Hadoop的基础知识及其核心组件,包括HDFS、MapReduce和YARN。通过本文,读者可以全面了解Hadoop的生态系统及应用场景。 ... [详细]
  • 本文详细介绍了MicroATX(也称Mini ATX)和MATX主板规格,探讨了它们的结构特点、应用场景及对电脑系统成本和性能的影响。同时,文章还涵盖了相关操作系统的实用技巧,如蓝牙设备图标删除、磁盘管理等。 ... [详细]
  • 微软Exchange服务器遭遇2022年版“千年虫”漏洞
    微软Exchange服务器在新年伊始遭遇了一个类似于‘千年虫’的日期处理漏洞,导致邮件传输受阻。该问题主要影响配置了FIP-FS恶意软件引擎的Exchange 2016和2019版本。 ... [详细]
  • 本文深入探讨了 Redis 的两种持久化方式——RDB 快照和 AOF 日志。详细介绍了它们的工作原理、配置方法以及各自的优缺点,帮助读者根据具体需求选择合适的持久化方案。 ... [详细]
  • 通过Web界面管理Linux日志的解决方案
    本指南介绍了一种利用rsyslog、MariaDB和LogAnalyzer搭建集中式日志管理平台的方法,使用户可以通过Web界面查看和分析Linux系统的日志记录。此方案不仅适用于服务器环境,还提供了详细的步骤来确保系统的稳定性和安全性。 ... [详细]
author-avatar
瓜瓜哥哥
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有