|
| [原创]蠕虫ati3evx.exe taskmgr.exe pif.exe解决方法 |
| 作者 网络vs浪子 查看 2696 发表时间 2007/2/9 18:44 【论坛浏览】 |
|
今天在本版病毒样本专帖(http://www.20lz.com/Show.asp?id=1357&BoardID=11&TB=1)下了个样本测试了一下,暴汗,运行后机子假死了一段时间!atgd 样本uninst.exe 大小:109807字节 MD5:660ecf6a855641fda1e978424ec4da32atgd 卡巴:Virus.Win32.Delf.aq NOD32:Win32/Delf.NCC蠕虫atgd atgd atgd 该木马运行后生成以下文件:atgd C:\WINDOWS\ati3evx.exeatgd C:\WINDOWS\C.dll (注入多个进程)atgd C:\WINDOWS\CMD.DLLatgd C:\WINDOWS\svchost.exeatgd C:\WINDOWS\SYSTEM32.vxdatgd C:\WINDOWS\SYSTEM32.vxd.datatgd C:\WINDOWS\WPC..DLLatgd C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.dllatgd C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.exeatgd upxdnd.exe访问网络:h**p://222.220.16.203/ccc下载atgd 1.exe,2.exe,3.exe,4.exe,5.exe,6.exe,7.exe,8.exe,9.exe保存到IE临时文件夹并运行!atgd 生成:atgd C:\WINDOWS\1.exe ……(1~9.exe;3.exe,6.exe好像自我删除了)atgd C:\WINDOWS\896588M.BMP (注入多个进程)atgd C:\WINDOWS\system\icedate.datatgd C:\WINDOWS\system\IceHBO.dllatgd C:\WINDOWS\system\taskmgr.exeatgd C:\WINDOWS\system32\cmdbcs.dllatgd C:\WINDOWS\system32\mppds.dllatgd C:\WINDOWS\system32\msccrt.dllatgd C:\WINDOWS\system32\wsttrs.dllatgd C:\WINDOWS\system32\wsvs.dllatgd 每个分区下生成:autorun.inf pif.exeatgd 1.exe调用C:\WINDOWS\system32\arp.exe感染除系统分区外的所有EXE文件(头部添加20377字节,尾部添加5字节),并在感染过的文件夹下生成_desktop.ini文件(内容为:[ ]atgd = ) atgd 添加注册表项:atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runatgd "InternetEx"="C:\windows\1.exe"atgd "wsvs"="C:\windows\2.exe"atgd "cmdbcs"="C:\windows\4.exe"atgd "mppds"="C:\windows\5.exe"atgd "msccrt"="C:\windows\8.exe"atgd "wsttrs"="C:\windows\9.exe"atgd "upxdnd"="C:\DOCUME~1\“你的用户名”\LOCALS~1\Temp\upxdnd.exe"atgd "Internet"="C:\windows\svchost.exe"atgd "logo1_.exe"="C:\WINDOWS\system\taskmgr.exe"atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Runatgd "internet"="C:\windows\system\taskmgr.exe /scan"atgd "logo1_.exe"="C:\windows\ati3evx.exe"atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsatgd "AppInit_DLLs"="896588M.BMP" (原 "AppInit_DLLs"="" )atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDatgd 添加 {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} 指向 C:\WINDOWS\system\IceHBO.dllatgd atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA}\atgd @=" "atgd atgd atgd 手工查杀方法:atgd 1.结束进程:atgd C:\windows\1.exeatgd C:\WINDOWS\ati3evx.exe(多个进程)atgd C:\WINDOWS\svchost.exeatgd C:\WINDOWS\system\taskmgr.exeatgd atgd 偶测试中就只这几个进程,如还有其它一并结束!用以下工具(因为任务管理器一打开就被关闭):atgd atgd 3t6zFYbU.raratgd atgd  atgdatgd atgd 2.打开金山反间蝶-文件粉碎器-添加文件,找到以上文件,再点彻底删除OK!atgd atgd KUvVVoKR.raratgd atgd  atgdatgd atgd 然后清空自己的临时文件夹和IE缓存!删除病毒生成的垃圾文件可用批处理!把以下代码保存为del.bat,运行即可:atgd FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO DEL /F /Q /A SH %%a\PIF.EXE & DEL /F /Q /A SH %%a\AUTORUN.INF & DEL /F /S /Q /A %%a\_desktop.iniatgd atgd 3.删除病毒添加的注册表项!atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runatgd "InternetEx"="C:\windows\1.exe"atgd "wsvs"="C:\windows\2.exe"atgd "cmdbcs"="C:\windows\4.exe"atgd "mppds"="C:\windows\5.exe"atgd "msccrt"="C:\windows\8.exe"atgd "wsttrs"="C:\windows\9.exe"atgd "upxdnd"="C:\DOCUME~1\“你的用户名”\LOCALS~1\Temp\upxdnd.exe"atgd "Internet"="C:\windows\svchost.exe"atgd "logo1_.exe"="C:\windows\ati3evx.exe"atgd atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Runatgd "internet"="C:\windows\system\taskmgr.exe /scan"atgd "logo1_.exe"="C:\windows\ati3evx.exe"atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsatgd "AppInit_DLLs"="896588M.BMP" (此项需用修改,键改为空)atgd atgd HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDatgd HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDatgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objectsatgd 删除“{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA}”项目!atgd atgd atgd 4.重启系统,升级你的反病毒软件,进行全盘查杀,应该可以修复被病毒感染的.exe文件!atgd atgd atgd atgd atgd 回复:[原创]蠕虫ati3evx.exe svchost.exe pif.exe解决方法atgd atgd 附上EXE修复工具,因这个软件不支持环境变量名,大家的路径可能不同,所以就不加入杀病毒文件了!只能修复EXE,建议手工清除病毒文件后操作!atgd atgd atgd  atgdatgd atgd  atgdatgd atgd  atgdatgd atgd atgd KyEG1Ycz.raratgd |
| 序号 | 评论者 | 共有评论 2 【论坛浏览】 【发表评论】 | 评论时间 | |||
| 1 | tfnyga | 回复:[原创]蠕虫ati3evx.exe svchost.exe pif.exe解决方法 网络vs浪子,辛苦了,谢谢你帮忙测试我那样本. 我的电脑c盘以外的exe文件都被这种病毒感染了,C盘没有(还好用还原精灵护住了)。瑞星最新版也可以查出这种病毒,你觉得这种病毒作者的主要目的是做什么呢? 还有你那病毒样板贴中附件的大小可不可以改大一点,虽说病毒都做的很小,但有的还是超过了100KB,我想传都传不上来。 |
2007/2/9 19:46 | |||
| 2 | 网络vs浪子 | 回复:[原创]蠕虫ati3evx.exe svchost.exe pif.exe解决方法
此个样本就是你上传的那个!(二楼会上传专杀,可修复被感染的EXE文件)病毒作者的目的现在很明确,就是经济利益! 问题二:因空间太小,所以限制了新会员上传大小! 等级权限请参考:http://www.20lz.com/Show.asp?id=867&BoardID=2&TB=1 |
2007/2/9 20:10 | |||
共有评论数 2 每页显示 10
|
||||||
