病毒名称Virus.Win32.AutoRun.aik查杀:soundmno.exe,ntldr.exe,TxHMoU.Exe,soS.Exe .病毒运行后,衍生如下副本: %systemroot%\system32\AUToRUN.Inf %systemroot%\system32\TxHMoU.Exe 在每个分区根目录下面生成AUToRUN.Inf和soS.Exe,达到通过U盘等移动存储传播的目的。 2.调用reg.exe进行一些注册表的操作 与之派衡毕前的变种相同 主要执行的操作为: 添加自启动项目 禁用windows自动更新 禁用任务管理器 破坏显示隐藏拦者文件的功能 不显示文件的扩展名 锁定主页,并使得IE的主尘芹页设定选项不可选 3.遍历所有磁盘分区删除*.gho文件 4.遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件 并在其尾部加入iframe代码 5.关闭指定窗口 病毒 木马 检测 wpe 以及包含下面的table.txt中的指定关键字窗口 6.连接网络下载http://www.*/url.txt http://www.*/IE.txt http://www.*/table.txt 到%systemroot%\system32下面命名为FSEc.COM,FSEb.COM,FSEx.COM 其中table.txt和IE.txt每几秒钟便重新下载一次 其中url.txt为下载的木马列表 IE.txt为锁定的主页的名称 table.txt为关闭指定窗口的名称 目前为: 360safe 木马 木马 病毒 杀毒 杀毒 查毒 防毒 反病毒 专杀 专杀 卡巴 江民 瑞星 卡卡社区 金山毒霸 毒霸 金山 社区 360安全 恶意软件 流氓软件 举报 报警 杀软 杀软 防骇 微点 卡巴斯基 kaspersky rising 瑞星 诺顿 之后会根据url.txt中的内容下载木马到%systemroot%\system32并运行 中毒后的sreng日志如下: 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] {crsss}{C:\WINDOWS\system32\TxHMoU.Exe} [] {GenProtect}{C:\WINDOWS\mzosty.exe} [] {upxdnd}{C:\WINDOWS\upxdnd.exe} [] {cmdbcs}{C:\WINDOWS\cmdbcs.exe} [] {WinSysM}{C:\WINDOWS\608769M.exe} [N/A] {MsPrint32D}{C:\WINDOWS\chasai.exe} [] {KVP}{C:\WINDOWS\system32\drivers\svchost.exe} [] {WinSysW}{C:\WINDOWS\608769L.exe} [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] {MSDEG32}{LYLoader.exe} [] {MSDWG32}{LYLoadbr.exe} [N/A] {MSDCG32 }{LYLeador.exe} [N/A] {MSDOG32}{LYLoador.exe} [N/A] {MSDSG32}{LYLoadar.exe} [N/A] {MSDMG32}{LYLoadmr.exe} [N/A] {MSDHG32}{LYLoadhr.exe} [N/A] {MSDQG32}{LYLoadqr.exe} [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] {AppInit_DLLs}{kvdxsjma.dll} [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] {AppInit_DLLs}{kvdxsjma.dll} [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} [] {{B7777BE4-DD7E-4EFF-8F13-56C4ADD3F454}}{C:\WINDOWS\system32\txslexpias.dll} [Microsoft Corporation] {{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll} [] {{6960356A-458E-DE24-BD50-268F589A56A6}}{C:\WINDOWS\system32\avwlfmn.dll} [] {{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll} [] {{68907901-1416-3389-9981-372178569986}}{C:\WINDOWS\system32\kawdfzy.dll} [] {{D6650011-3344-6688-4899-345FABCD156D}}{C:\WINDOWS\system32\ratbmpi.dll} [] {{58847374-8323-FADC-B443-4732ABCD3785}}{C:\WINDOWS\system32\sidjezy.dll} [] {{36FF2E71-1F0D-4E07-9213-E6740C57322E}}{C:\WINDOWS\system32\uavokcvmewog.dll} [Microsoft Corporation] {{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll} [] ================================== 驱动程序 [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] {system32\DRIVERS\comint32.sys}{N/A} [comint32 / comint32][Running/Manual Start] {\??\C:\WINDOWS\system32\DRIVERS\comint32.sys}{N/A} ================================== 浏览器加载项 [] {9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A} 解决办法: 下载sreng:http://download.kztechs.com/files/sreng2.zip Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下 1.解压Xdelbox所有文件到一个文件夹 在 添加旁边的框中 分别输入 C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys C:\WINDOWS\608769MM.DLL C:\WINDOWS\608769WL.DLL C:\WINDOWS\cmdbcs.exe C:\WINDOWS\GenProtect.exE C:\WINDOWS\MsPrint32D.exe C:\WINDOWS\system32\ampvstqj32.dll C:\WINDOWS\system32\asvzhuzhu32.dll C:\WINDOWS\system32\avwlfin.dll C:\WINDOWS\system32\avwlfmn.dll C:\WINDOWS\system32\avwlfst.exe C:\WINDOWS\system32\avzxjmn.dll C:\WINDOWS\system32\avzxjst.exe C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\drivers\comint32.sys C:\WINDOWS\system32\drivers\svchost.exe C:\WINDOWS\system32\gdqqhxi32.dll C:\WINDOWS\system32\GenProtect.dll C:\WINDOWS\system32\kawdfaz.exe C:\WINDOWS\system32\kawdfzy.dll C:\WINDOWS\system32\kvdxjis.exe C:\WINDOWS\system32\kvdxjma.dll C:\WINDOWS\system32\kvdxsjis.exe C:\WINDOWS\system32\kvdxsjma.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\system32\MSDEG32.DLL C:\WINDOWS\system32\MsPrint32D.dll C:\WINDOWS\system32\ratbmpi.dll C:\WINDOWS\system32\ratbmtl.exe C:\WINDOWS\system32\sidjeaz.exe C:\WINDOWS\system32\sidjezy.dll C:\WINDOWS\system32\TxHMoU.Exe C:\WINDOWS\system32\txslexpias.dll C:\WINDOWS\system32\uavokcvmewog.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\upxdnd.exe 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 然后一次性选中 (按住ctrl)下面大框中所有的文件 右键 单击 点击 重启立即删除 (第一步为处理病毒下载的木马的步骤,实际操作中不一定与其完全相同) 2.重启计算机 打开sreng 删除所有上述描述中的启动项目,驱动程序和浏览器加载项 之后点击 系统修复-Windows Shell / IE 勾选如下选项 允许在Windows 2000/XP/Server 2003中使用任务管理器 设置主页为"about:blank" 允许Internet Explorer选项窗口和选项窗口的所有内容 显示隐藏文件 然后点击“修复”按钮 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开系统所在盘 删除如下文件 %systemroot%\system32\AUToRUN.Inf %systemroot%\system32\TxHMoU.Exe 在左边的资源管理器中单击打开每个分区 删除每个分区根目录下面的soS.Exe和auToRun.inf 3.修复被感染的网页文件 推荐使用CSI的iframkill 下载地址:http://www.vaid.cn/blog/read.php?9
标签:360tray,exe
