热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

最近流行的一些木马群的查杀方法

(发在卡卡的一个帖子转到这里来,方便大

                                         

(发在卡卡的一个帖子转到这里来,方便大家查阅)

最近通过木马下载器下载的木马群日益猖獗,写过一些分析,但比较零散,现在总结一下最近流行的一些木马群的查杀方法

索引:本帖包括

1.*man.dll,*pri.dll等木马群的清除

2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀

3.rav*mon.exe,rav*mon.dat木马群的清除

4.*door0.dll木马群的查杀

5.auto.exe及其下载的木马群的处理

6.关于此类病毒的防范方法


1.*man.dll,*pri.dll等木马群的清除
sreng日志反映如下:
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<*pri.dll>
或者 <*man.dll>
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]

<{串码}>
<{串码}>
例如下面的日志:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
[]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{2231A43A-1642-641A-64FD-146ADAB223B2}> []
<{E1351752-5628-1547-FFAB-BADC13512AFE}> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}> []
<{6562452F-FA36-BA4F-892A-FF5FBBAC5316}> []
<{74123FF1-8371-9834-9021-184518451FA7}> []
<{4F12545B-1212-1314-5679-4512ACEF8904}> []
<{9A65498A-7653-9801-1647-987114AB7F49}> []
...

解决方法:
重命名大法!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开%system32%文件夹(默认C:/Windows/system32)
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律

打开sreng 启动选项 查看

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll,ztaman.dll
然后还是搜索这些文件 然后把他们重命名

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入系统所在磁盘(默认C盘)
删除你重命名的那些
%system32%/*pri.dll
%system32%/*man.dll
2.avzx*(avzxamn.dll),kvdx*(kvdxcma.dll),等随机7位字母的dll木马群的查杀

sreng日志一般反映如下:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []

特征为随机的7位字母dll

解决方法:
重命名大法!

打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

打开C:/windows/system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
重启计算机后

打开sreng
启动项目 注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}> []
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}> []
<{3D47B341-43DF-4563-753F-345FFA3157D3}> []
<{1960356A-458E-DE24-BD50-268F589A56A1}> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}> []
<{1859245F-345D-BC13-AC4F-145D47DA34F1}> []
<{37D81718-1314-5200-2597-587901018073}> []

并删除刚才重命名的那些dll文件
3.rav*mon.exe,rav*mon.dat等木马群的清除

sreng日志一般反映如下
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]


特征为rav*mon.exe的启动项目 并在同文件夹下能够发现很多rav*mon.dat

清除办法:
打开sreng
启动项目 注册表 删除如下项目
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[]
[]
[]
[]
[]
即rav*mon.exe的项目

重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

删除rav*mon.exe和同文件夹下的rav*mon.dat
4.*door0.dll木马群的查杀

sreng日志一般反映如下

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}>

如下面的例子
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
...

解决办法:
重启计算机进入安全模式下(一定是在安全模式下才可以!)
进入安全模式后不要打开任何其他程序
,因为病毒会插入由explorer.exe启动的任何程序
还是打开任务管理器 结束explorer进程 然后
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}> []
<{074616A6-5ADC-4A3F-B252-E1D605228B5C}> []
<{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}> []
<{D8CC4845-441C-44F8-9053-28F2EF67655B}> []
<{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}> []
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}> []
(等所有*door0.dll的项目)
PS:10.4 发现新变种 处理方法见 http://hi.baidu.com/newcenturysun/blog/item/0b0bac99424b0a0b6e068c1a.html
5.auto.exe及其下载的木马群的处理
这个病毒在 http://hi.baidu.com/newcenturysun/blog/item/07f2f31132008ac4a6ef3f46.html 已经有详细说明,大家可以参考。需要说明的是一定要首先清除随机8个字母和数字组合成的exe和dll文件和各个分区下的auto.exe。否则即便你把木马群清除掉以后,它们还会给你重新下载!
6.关于此类病毒的防范方法:
此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒,除了安装并及时升级杀毒软件,防火墙和系统补丁以外,还需做到以下几点!

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。

2.锁住某些注册表权限
开始-运行-输入regedit,展开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2,右键单击这个键,权限,把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法!!!
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入U盘

推荐阅读
  • Linux环境下配置Subclipse访问SVN+SSH仓库的方法
    本文详细介绍如何在Linux操作系统中配置Subclipse,以便通过SSH协议安全访问SVN仓库。不同于常见的Windows配置指南,本文提供了针对Linux用户的详细步骤。 ... [详细]
  • 利用Java与Tesseract-OCR实现数字识别
    本文深入探讨了如何利用Java语言结合Tesseract-OCR技术来实现图像中的数字识别功能,旨在为开发者提供详细的指导和实践案例。 ... [详细]
  • 本文介绍了如何在VB.NET版机房收费系统中实现数据从DataGridView导出至Excel的功能,包括环境配置、代码实现及常见问题解决方法。 ... [详细]
  • Python学习笔记:使用MyQR库创建动态彩色二维码
    本文介绍了如何利用Python的MyQR库来生成动态彩色二维码,包括库的安装方法、基本使用案例以及参数详解,特别针对动态图生成速度过快的问题提供了解决方案。 ... [详细]
  • 本文介绍了如何利用Apache Digester库解决硬编码问题,通过创建自定义配置文件(如Struts配置文件)来动态调整应用程序的行为。文章详细描述了使用Apache Digester将XML文档转换为Java Bean对象的过程,并提供了具体的实现步骤。 ... [详细]
  • openGauss 文件权限安全策略配置
    本文档介绍了 openGauss 在安装过程中如何自动设置文件权限,包括数据库程序目录、数据文件目录以及日志文件等,并提供了相应的权限规则和建议,以确保系统的安全性。 ... [详细]
  • 腾讯视频 Node.js 服务国庆阅兵直播高并发实战
    本文分享了腾讯视频团队在国庆阅兵直播项目中,如何利用Node.js服务成功应对2.38亿次观看的高并发挑战。文章将从服务架构、可用性保障、缓存策略、日志与告警等方面详细解析。 ... [详细]
  • 一面问题:MySQLRedisKafka线程算法mysql知道哪些存储引擎,它们的区别mysql索引在什么情况下会失效mysql在项目中的优化场景&# ... [详细]
  • 58同城的Elasticsearch应用与平台构建实践
    本文由58同城高级架构师于伯伟分享,由陈树昌编辑整理,内容源自DataFunTalk。文章探讨了Elasticsearch作为分布式搜索和分析引擎的应用,特别是在58同城的实施案例,包括集群优化、典型应用实例及自动化平台建设等方面。 ... [详细]
  • 想要使用Linux,以下这些命令不可少的哦!我在工作中经常用到的大多数都是一些文件的查找,和上传下载什么的,没什么技术含量& ... [详细]
  • 本文介绍如何通过修改 Windows Vista 的注册表来全面禁用控制面板,以及如何针对性地隐藏或显示特定的控制面板项目,以增强系统安全性。 ... [详细]
  • 本文介绍了如何通过Java语言结合嵌入式Jetty服务器来提供静态文件服务,包括Gradle构建配置和核心代码实现。 ... [详细]
  • 深入解析JavaScript中的require与import差异
    本文深入探讨了JavaScript中require与import的主要区别,并通过实际案例详细说明了它们的工作原理及应用场景,对于开发者理解和使用这两种模块加载方式具有重要指导意义。 ... [详细]
  • 本文介绍了在Makefile及Android.mk文件中添加打印输出信息的方法,并详细解析了Android编译过程中的关键步骤,包括环境变量的设置与编译脚本的执行。 ... [详细]
  • 作为一名在大型手机游戏公司工作的程序员,尽管主要负责游戏逻辑和内容的开发,但对iOS底层开发接触较少。现在有了iPhone和可以虚拟MAC环境的电脑,希望能找到有效的iOS开发学习路径。 ... [详细]
author-avatar
瓜瓜哥哥
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有