鸿 网 互 联 www.68idc.cn

遭遇“新版机器狗”推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:27
最近,很少研究病毒查杀了。昨天,忙乱中收到电话求援,有一位同事的系统不能用了,启动不了,蓝屏。去了一看,系统坏了,修复系统—》启动成功了。接下来,杀软报告出现了很多的病毒,杀不掉(杀软有点儿垃圾 )。重启——》安全模式,找了很多小工具都不能
最近,很少研究病毒查杀了。昨天,忙乱中收到电话求援,有一位同事的系统不能用了,启动不了,蓝屏。去了一看,系统坏了,修复系统—》启动成功了。接下来,杀软报告出现了很多的病毒,杀不掉(杀软有点儿垃圾)。重启——》安全模式,找了很多小工具都不能用(这里提到一句,他用IFEO劫持技术,屏闭掉了很多工具)。 分析过程中,由于IFEO的原因,我把工具都改名了,才能分析得到这些东西的。也为快速的清除它,提供了方便。 1.释放自身到启动文件夹随机加载:
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\AtiSrv.exe 2.写入执行挂钩: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
   ffHADHAD1042.dll
HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}
c:\windows\system32\ffhadhad1042.dll
   Microsoft
HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}
c:\windows\system32\zjydcx.dll
   Microsoft
HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}
c:\windows\system32\zgxfdx.dll
   Microsoft
HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}
c:\windows\system32\hfrdzx.dll
   fJACJAC1041.dll
HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}
c:\windows\system32\fjacjac1041.dll
   fNNBNNB1032.dll
HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}
c:\windows\system32\fnnbnnb1032.dll
   fSACSAC1016.dll
HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}
c:\windows\system32\fsacsac1016.dll HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
c:\program files\internet explorer\plugins\winsys8v.sys(这部分刚开始没看到,后来分析完了才发现,有这个文件,我清除的过程中,这个是最后一个被发现的)
3.写入Appinit_dlls(用hijackthis分析得到的) 现在很多的病毒的编写,都是利用这里,在安全模式下加载病毒,让安全模式下也是病毒的运行环境。这部分写入很多,无法具体的分析加载的东西,只把这部分文件名放上来 bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,slcs.dll,xptyj.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,
4.下载病毒到WINDOWS里,以便运行它们(这是机器狗的比较明显特征)  可能因为,我同事中毒以后,没连上网,只在,C:\windows下发现,28.EXE,27.EXE,两个病毒 5.加载rootkits驱动进行自我保护(没发现,可能用工具清除了吧) 6.写入ntsd劫持(分析不清楚,只看到一运行,就出现标题为ntsd的窗口,提示cuhad.dll映像无效) 7.IFEO劫持(屏闭一些软件,由其是杀毒小工具,这包括了当前能知道的杀软都在这里呢.这里感谢QQKAV软件帮忙,得到这部分内容) 60rpt.exe
  360safe.exe
  360safebox.exe
  360tray.exe
  adam.exe
  AgentSvr.exe
  AppSvc32.exe
  autoruns.exe
  avconsol.exe
  avgrssvc.exe
  AvMonitor.exe
  avp.com
  avp.exe
  CCenter.exe
  ccSvcHst.exe
  EGHOST.exe
  FileDsty.exe
  FTCleanerShell.exe
  FYFireWall.exe
  HijackThis.exe
  IceSword.exe
  iparmo.exe
  Iparmor.exe
  isPwdSvc.exe
  kabaload.exe
  KaScrScn.SCR
  KASMain.exe
  KASTask.exe
  KAV32.exe
  KAVDX.exe
  KAVPF.exe
  KAVPFW.exe
  KAVSetup.exe
  KAVStart.exe
  KISLnchr.exe
  KMailMon.exe
  KMFilter.exe
  KPFW32.exe
  KPFW32X.exe
  KPfwSvc.exe
  KRegEx.exe
  KRepair.com
  KsLoader.exe
  KVCenter.kxp
  KvDetect.exe
  KvfwMcl.exe
  KVMonXP.kxp
  KVMonXP_1.kxp
  kvol.exe
  kvolself.exe
  KvReport.kxp
  KVScan.kxp
  KVSrvXP.exe
  KVStub.kxp
  kvupload.exe
  kvwsc.exe
  KvXP.kxp
  KvXP_1.kxp
  KWatch.exe
  KWatch9x.exe
  KWatchX.exe
  MagicSet.exe
  mcconsol.exe
  mmqczj.exe
  mmsk.exe
  Navapsvc.exe
  Navapw32.exe
  nod32.exe
  nod32krn.exe
  nod32kui.exe
  NPFMntor.exe
  OllyDBG.EXE
  OllyICE.EXE
  PFW.exe
  PFWLiveUpdate.exe
  procexp.exe
  QHSET.exe
  QQDoctor.exe
  QQKav.exe
  Ras.exe
  RavMonD.exe
  RavStub.exe
  RawCopy.exe
  RegClean.exe
  RegTool.exe
  rfwcfg.exe
  rfwmain.exe
  rfwProxy.exe
  rfwsrv.exe
  rfwstub.exe
  RsAgent.exe
  Rsaupd.exe
  runiep.exe
  safebank.exe
  safeboxTray.exe
  safelive.exe
  scan32.exe
  shcfg32.exe
  SmartUp.exe
  SREng.EXE
  symlcsvc.exe
  SysSafe.exe
  TrojanDetector.exe
  Trojanwall.exe
  TrojDie.kxp
  UIHost.exe
  UmxAgent.exe
  UmxAttachment.exe
  UmxCfg.exe
  UmxFwHlp.exe
  UmxPol.exe
  UpLive.exe
  vsstat.exe
  webscanx.exe
  WinDbg.exe
  WoptiClean.exe   清除:(首先,简单说一说我的方法) 1.我把中毒的硬盘接到无毒的电脑上,清除了分析1,2的所得文件(落下了c:\program files\internet explorer\plugins\winsys8v.sys,让我走了不少弯路) 2.启动电脑,这时我们的杀软,不再提示有病毒,不过工具还是不能用,试了很方法还是不能运行,最后改名工具,可以用了. 3.用hijackthis分析解决了Appinit_dlls 4.用qqkav杀掉了其它病毒,还修复了IFEO项 5.修复我们的杀软 至此,修复完成了 其实,网上有还有其它的方法查杀,基本原理相同,清除关键是清掉分析中得到的文件,修复IFEO项. 其它工具也可以清除 机器狗/AV终结者(版本号5.4) 机器狗映像劫持修复工具检测与修复    
网友评论
<