查看文章 |
此篇写于2009/07/18,从晚上10点开始到凌晨4点,但当时是中毒状态,一边杀毒一般写,结果本来都写好了,但操作时IE崩溃了,12点后的我没保存,全部没了,当时心痛,真的很痛,19号有事外出,没写,今天补上,红色部分为木马或特别说明,淡红色为说明,请看完这篇文后再实践,总结在最后,记得要先看
第一篇,工具篇 去下sreng,xuetr,wsyscheck0116中文版,process explorer,没有去网上下,没网用U盘拷,没U盘,没U盘也继续看 sreng http://www.kztechs.com/sreng/download.html xuetr wsyscheck0116中文版 http://www.crsky.com/soft/11054.html process explorer 第二篇 准备篇 一,判断电脑中是什么类型的木马,有没有autorun,有没有映像劫持,有没有dll插入,有没有驱动启动。 1,有无autorun 看各个盘下有无autorun.inf文件,文本格式的,系统隐藏属性,看不见,工具-文件夹选项-查看-隐藏受保护的操作系统文件(推荐) 去√,显示所有文件和文件夹。打点,隐藏已知文件扩展名,去√, 没有,过;有,删了又有,过;设置不能改,过;中毒中,当然不让你改。 2,有无映像劫持, 用sreng看,在 启动项目-注册表,下来有IFEO,红色的,恭喜,被劫持了,删不了吧;用xuetr看,映像劫持 那里,有,删里刷新又出来,还是删不了吧;在注册表里看,运行RegEdit,打不开,提示被管理员禁用,放下,用xuetr上面的打开,杀完毒在解决,怎么解决,我不知道,直接百度,在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面就是映像劫持了,能删你就删,能不能我不知道,没试过。 3,有无dll插入, 用sreng2的智能扫面,看报告里的东西,标记为有N/A,[ ],file ismissing,这些标有有可能是exe,dll,fon,sys等格式的,有且很多 又百度不到说明,恭喜你,中了,用xuetr同样可以,打开xuetr,如果提示有线程注入,点是就行,你随便点个进程,木马特喜欢插explorer这个进程,就点它好了,右键-查看进程模块,你会发现很多没有文件厂商说明的数字字母命名的dll,fon格式的东西,再次恭喜你,中了。QQ也是木马喜欢插的一个。 4,有无木马驱动, 用sreng查看,点→启动项目→服务→,在win32和驱动里面找吧,名字怪怪的,数字字母混合的有没有啊?有的话,中了,记得隐藏已认证的微软项目哦,不然那么多够你看的,当你点注册表那项时提示你appInit_dlls,不是默认值时,差不多也是中了,sreng看不太明白,看xuetr打开xuetr,打开过的就别打开了,在服务那找,没文件厂商的,名字怪怪的,比sreng看起来好多了吧,信息很全了,在道内核模块那找,找什么?没什么什么的呀,上面说过就忘了。 第二篇到此结束,谢谢观赏
第三篇 问答篇 1,问:安全模式进不去怎么办?蓝屏?没反应? 答:用sreng修复功能,那有,找不到别找我,修改注册表参照修 复安全模式篇,不再这里,是另一篇文章,还没写 2,exe,com,bat等可执行文件打不开怎么办? 答:你用sreng修复啊!不说打不开了吗?忘了,不好意思(~O(∩_∩)O~)。 方法1,改名字,exe运行不了该成.com,.com运行不了改成.bat,bat运行不了改成.cmd,还运行不了啊?看方法2吧; 方法2,打开程序,打开选择那选→从列表中选择程序→选windows command processor,也就是cmd,没有去windows\system32下找,这样你发先打开cmd窗口了吧,不要问我为什么能打开cmd.exe,我也不知道,问比尔盖茨去,有cmd就好办了,在cmd里输入assoc .exe=exefile,enter键,输 ftype exefile="%1" %*,exe程序能运行了,类推就是com了,等等,等等,能运行exe程序你该笑了吧,没cmd看方法3去, 方法3,没cmd找别人借个,U盘不用我借你吧;用安装盘进windows PE系统,操作方法如2,PE进去找不到硬盘看方法4 方法4,除了重装系统外的所有方法,暂时没想到, 方法5,刚想到的,系统装到其他分区去,用这个系统启动杀木马就行了,适合有重要资料的人使用,没必要就格了吧,省事 3,杀毒软件打不开怎么办?首页被改怎么办?输关键字如“杀毒”网页自动关怎么办? 答:参照 准备篇,问答篇第2问,中毒了吗?中了像下看,肯定中了的啦!! 4,我电脑中了!求高手帮忙解决或我电脑中毒了怎么办啊!!??百度知道常见问题。 答:我的回答,杀毒,或就你那十来个字,我总结出三个字:不知道,再或贴sreng扫描报告,结果没一个贴的,我失望,只好天天去挣2分去了, 在此认真回答,请把这篇文章看完,保证你有收获,不想看完的话扫sreng报告发到我邮箱里去只要我有空帮你看,282967372@163.com,等不及那就就格了重装或找有空的人, 5,什么是进程?什么的pid?什么是dll?什么是驱动? 答:去百度搜,我也说不清楚,简单比方说,程序是一穿衣服人的话,进程就一裸体人,PID就一身份证,dll(指木马)就一病毒细菌的干活,程序就是穿衣服的人,很多很像,可以一模一样,没人说你,进程就像双胞胎乃至多胞胎,总归有个数,PID就一身份证,一人一个,dll(指木马)就一寄生虫,在人体(程序)内活的,出来就死翘翘了;驱动(专指木马)就一异型,难找难宰,自己能活,还楞的装成个人,一不小心就放过去了; 6,为什么你会知道哪些是木马的进程/驱动/dll/fon? 答:我也不知道太阳离我们有多远,那是别人告诉我的,所以你要去百度找进程方面的资料,然后记下来,时间久了就知道了,也可以经常用sreng扫描报告对比,我经常这样做的 7,你不是说是手动杀毒吗?哪来那么多软件要用? 答:问你1+2+3+。。+100=?你是拿xp那个计算器加加加,得到5050呢还是下个软件直接输个1和100得到5050呢?简单问题复杂化。 8,你经常说免疫是怎么回事? 答:就建一个和木马同名的文件夹或文件,在里面在放个。。的文件,删不了就行 那个。。文件夹建法 我们以autorun免疫为例:运行里输cmd打开后输: md c:\autorun.inf\autorun.inf..\ ,几个'点'随你,但要>=2, md d:\autorun.inf\免疫...\ ,下面这个文件夹名字随便取, 啊!类推,你有几个盘就建几个 删除这样的文件夹直接在cmd里输rd c:\autorun.inf\autorun.inf..\ 进入文件夹在运行里输 c:\autorun.inf\autorun.inf..\
9,出现comres.dll无法找到入口点怎么办? 答:这个一般是木马替换了原来的正常文件,如果出现对话框,你点点点,就没了,然后上网下comres.dll,在www.zhaodll.com下,放到c盘根目录下或Windows目录下,其他盘也行,不过建议放到C盘下,你放到system32目录下,不会让你放的,不信你放了就知道了,然后用regsvr32注册,命令是regsvr32 c:\comres.dll 这样重启电脑后所有的软件都用c盘下的这个comres.dll了,再去32目录下删了原来的复制正常的过去,再注册回去,就是regsvr32 c:\Windows\system32\comres.dll 。 方法2,用xuetr全局卸载这个dll,就能复制到32目录下了 10,你 啰嗦半天到底还杀不杀了? 答:现在就杀,现在就杀,不要吓我,我怕怕!!! 第四篇 动刀篇 实例:以为一网友杀毒并用其机器中的木马为基础讲解下,我现在机器可中中毒着,没用虚拟机的,杀不了我也要 格! 格! 格! 病毒名:system.exe ,释放文件为system.dll ,此dll文件用txt打开后都是乱码,但有http://j0v.io7f.com/10/count.txt,这个东西,都是木马程序,密码我搞不定,不会,真的!不会 在每个盘生成autorun.inf 和AutoRun.vbs和system.exe文件,autorun.inf内容为: [AutoRun] 就一简单执行AutoRun.vbs这个脚本程序,然后这个脚本程序又执行system.exe,脚本程序内容为: set yu=wscript.createobject("wscript.shell") 这里就是典型的autorun木马了,这个system木马在每个盘下创建自己,你一不小心打开盘就中了,预防就关了自动播放,在每个盘下建个autorun.inf文件夹, 下面说system.exe还干了什么事,基本就是狂下木马,修改首页http://www.7241.cn/?q, 然后桌面不能用,explorer.exe被强奸了,下完就有桌面了,然后分析干什么事, 重启后没有桌面,但你等会就有了,用process explorer看的话会发现当explorer.exe下面蹦出rundll32.exe后桌面就出来,简单说就是explorer加载了rundll32.然后rundll32.exe加载木马,一会就出现xttp6j11x.exe,cmd.exe有3个,cmd不是木马,只是被调用了,一个iexplore.exe,IE知道吧,你没开网页也会有,不要搞忘了,一个1a1.exe,QQ登不上,有中奖消息提示你 总结下:进程出现 xttp6J11x.exe,在c:\windows\system32目录下 1a1.exe ,在c:\windows\system32目录下 iexplore.exe 被木马强奸的,结束就可以了不用删 cmd.exe 被木马强奸的,结束就可以了不用删,有3个,我这的是3个 QQ无法登陆,出现QQ中奖消息提示 上面说的都是基本症状,就是简单看出来的,下面我们用这几个软件看看,重点部分了,这里你搞明白了,以后你中毒就就会做了, 用sreng看,我直接扫描报告,把报告里面的部分东西贴上来,具体分析 启动项目 ,也就是软件上的那个启动项目里面的东西,更具体了,有一个正常的对比
<{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll> []木马 由于太多,我就不全部标记,也没贴全,毕竟这只是例子,大家自己找,自己判断,就找数字字母混合型,N/A,[ ] File is missing 的看自己了,最好记下来,后面有用, 启动文件夹 一般木马不会放这,但不排除也有 =========== =======================
驱动 驱动程序 peio / peio][Running/Manual Start] [yrgpvq / yrgpvq][Running/Boot Start]
正在运行的程序 我就贴两个个出来说明下, [PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/A, ] 那个木马, 标记看到了吗?system.exe没有运行,因为我重启后ESET的杀毒程序没启动,但服务启动了,估计被杀了,还有上面提到几个也都没有, 在这我要说下,不是广告不是托,ESET比瑞星强,我那网友开着瑞星我帮他QQ远程,进程里那几个木马都在,瑞星除了自保了,什么也没做,扫也扫不到,所以给大家的建议,装瑞星的还是卸了吧,再说一遍,我不是托,我的经历告诉我瑞星不行,不要和我辩,你可以选择继续用瑞星那个不咋地的杀软, [PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)] 插入型的木马,一般是dll文件,fon文件,插在IEXPLORE.EXE里
[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 木马 这个字库格式的木马我找不到路径,所以没的删除,但你按路径打的开,没办法我改了打开方式,让他用记事本打开,我只是想看看怎么找这个文件,在这说下,没什么意思, [C:\WINDOWS\system32\08223B03.dll] [N/A, ] 木马 我没有贴全,但你一定要找全,并记下名字,后面有用,现在可能会很繁琐,但以后就不会了,熟能生巧 下面的这两项有问题就修复下吧,杀毒后修复 Autorun.inf 上面用sreng这个软件查看部分就结束了,如果你熟悉的话都可以处理了,但我没有处理,就是想一步一步说明,当你熟悉后,你自然知道怎么做了 xuetr功能使用说明 简单说明 这里我们就要操刀了。sreng只是辅助使用,xuetr才是主角,,补充:你可以用类似xuetr的工具,如冰刃,狙剑,等等, 首先打开xuetr, 本工具配置 :这里可以全部√上,也可以不管,个人操作习惯问题。 映像劫持:里面有东西,试试删除,如果在本工具配置那都√上了,里面有东西你删除后刷新也不会再有了,如果你没配置,刷新后又有,可以不用管,杀完毒再删就没了 DCP定时器,不知道干什么的,没用过,不管 服务:找没文件厂商,没描述,名字怪怪的,知道怎么怪吧?这里一般都是Microsoft Corporation居多,还有显卡厂商,一些软件厂商,杀软,播放器厂商等等,要仔细看,我以前就看到个厂商叫computer is here的厂商,你告诉我这是不是木马,肯地是。,找到后根据sreng的报告选择删除或停止服务,建议用停止,因为有时不能判断, 其他的不说了,直接看内核那 内核模块:这里比较危险,删错容易蓝屏死机,所以要判断准确了,同样和服务那样找,xuetr.sys这个没厂商,这是xuetr自己的驱动,不要删了。 不确定的校验数字签名 进程: 建议值保留,其他都结束了 System Idle Process 系统空闲进程,级别高,没有映像路径 结束进程出现60秒倒计时关机时在运行里输入 shutdown -a 记得敲 回车键 或 点 确定,如果有杀毒进程的话也可以留着, 为什么留这几个进程?还记得木马喜欢插吗?进程少,你干活就少啊,并且把木马进程也结束了是吧 现在开始卸载dll,上面我们已经删除驱动和服务了还记得吗?卸载完dll就大功告成,杀软肯定能打开了,如果打不开,就是还有漏的,继续找,重复以上步骤,直到杀软能打开扫描杀毒为止 一个一个进程看,右键查看进程模块,找到我上面要你记下的那些N/A的吗?全局卸载,一般这些木马在这也是一样,没文件厂商,全局卸载过程中可能会出现桌面崩溃,软件崩溃,等等,不用管,只要不死机就行,记得最后卸载xuetr里面的,不然xuetr死了后你用任务管理器结束不了,要重启机器,那样你就白忙了 注意:有可能你会发现sreng扫描的标记为N/A,[ ] 那些,就是你记的那些,在xuetr看有文件厂商,你会奇怪为什么了,我也不明白,但一般你校验数字签名的话 没有签名就可以卸载了,但有的没文件厂商,你校验数字签名有签名的不要卸载 全部卸载完打开杀软,杀毒吧, 总结:我们可以看到木马的几个通性,名字怪,08223B03.dll 纯数字,xg4hAPNygs29.dll,xttp6J11x.exe,混合型,lwtsg.sys 没规律的字母组合,sreng扫描都是N/A, xuetr,看数字签名基本没有 peios.sys 这是木马,我上面无法判断,所以我停止服务,但没删,ESET 启动后扫到为木马并且隔离了 asyncmac.sys ,不是木马,ESET没报,查看文件有厂商,是微软的,网上检测 ,过了,没事 一般用xuetr是先结束进程,后停止服务,在删除内核的木马,上面是根据软件界面来的,但同样可行, 杀软启动后就可以把病毒木马杀了,只要你别用瑞星就行, 最后用xuetr修复映像劫持,这样你的很多软件就能打开了,sreng修复累死人,不建议用,修复HOSTs用sreng,xuetr不好用,此木马修改的首页也可以改回来了,,任务栏的快捷方式要点属性把后面的http://www.7241.cn/?q,删了
扫描sreng报告时最好关了网页,QQ,等所有软件,减少扫描内容方便大家看 那个木马我放到www.jlys.ys168.com里了,图片区,想玩的去下 |
