Winxp不幸中毒以及手杀过程

新装的winxp ，由于嫌自带的ie5太老，所以在百度上搜索“winxp ie”，然后打开“Internet Explorer 8 for WinXP 简体中文官方版” http://www.skycn.com/soft/30276.html，选择了“河南景安电信下载” http://www.skycn.com/down.php?uri=http://61.153.35.202:82/down/InternetExplorer.zip。然后我又尝试了其他下载点，结果一切正常。那么为什么从这个下载点上下载的东西是病毒，也就是说该服务器上的文件被替换了，或是遭到域名劫持了？？

在下载时，看到InternetExplorer.zip只有164K，觉得有点奇怪，但是没有太仔细看。下载完后，就直接打开了。
结果，呵呵，中奖了。

每个几分钟就弹出广告页面，每个分区根目录之下都生成了autorun.inf和w3wp.exe。在windows和system32文件夹下生成了pagefile.exe和w3wp.exe，构成双进程，互为守护进程，以确保木马的正常运行。
同时，还修改了hosts文件，将360等网站的ip指向本机（127.0.0.1），将一些常用的网站，如百度，腾讯等ip全部指向一个ip，显然是用来获取点击的。
另外，在打开360等的安装文件时，马上被终止。
我的IceSword（冰刃）是以压缩包的形式保存的，在解压时，直接被木马删去了主应用程序IceSword.exe，只剩下Cooperator.zip、FileReg.chm、FileReg.icp、IceSword.chm、readme.txt。
无法运行。
文件夹选项中的“隐藏系统文件”和“显示隐藏文件”选项直接被屏蔽，不显示了。
<blockquote>autorun.inf的内容如下：
[AutoRun]
shell\open=打开(&O)
shell\open\Command=w3wp.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=w3wp.exe</blockquote>
可以看到，在打开分区时，会调用w3wp.exe来打开。

然后，无奈了，杀软打不开，装不上，杀毒网站打不开，专杀和急救箱工具是不用想了，怎么办？怎么办？

多亏我平时没事喜欢下载些莫名其妙的软件，找到个ESET SysInspector，打开，木有问题，可以打开，哈哈。这个就说明这个木马的数据库不够全面，等我啥时候做木马了，就专门建个服务器，不断更新各种数据，让我的小马没事多和服务器沟通下，呵呵。
查看进程信息，看到pagefile.exe和w3wp.exe这两个进程比较可疑，查看路径，windows下的，扯淡嘛，pagefile这不是页面文件吗，啥时候转行做应用程序了？
转到所在文件夹，查看详细信息，恰好是在我运行InternetExplorer.zip那会儿生成的，那么，同时选中两个，果断结束。好了，世界清静了…..
接下来，安装360，虽然360安全卫士不是一般的烂，但是有时候当做个小工具集合还是凑合的，安装完毕，修复系统，修复hosts文件，删除木马文件。
好的，重启。

不幸的是，木马依然自启动了

360查杀，同时，手动搜索，条件：时间，今天，大小，小于100k，搜索到三个pf文件。
PF文件：预读取文件
在Windows XP及其以后的操作系统中，增加了预读取功能(也可以理解为“预先
装载”)，该功能可以提高系统的性能，加快系统的启动、文件读取的速度。
预读取文件保存在％systemroot％\Prefetch目录中，以*.pf为扩展名
这些*.pf文件包括了载入文件的详细信息和载入顺序
为提高Windows 和程序的启动速度，即让系统不自动产生.PF文件，需要禁用 Windows XP Prefetcher 组件。
果断删除，好了，再没有什么w3wp.exe了。

但是，还有个问题，在我电脑联网时，每隔几分钟会自动打开网页，这个没有解决，求大神援助！！

就特么这么被人坑了，不是咱的作风！
打开虚拟机，打开regmon和filemon，打开之前留作标本的木马文件w3wp.exe，监控木马运行动作。
<blockquote>这是filemon的部分记录，自己看吧
31840 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31841 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\SHELL32.DLL SUCCESS
31842 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\Documents and Settings\Administrator\桌面\w3wp.exe.Local\ NOT FOUND Attributes: Error
31843 19:22:35 w3wp.exe:164 FASTIO_QUERY_OPEN C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Attributes: D
31844 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS Options: Open Directory Access: 00100020
31845 19:22:35 System:4 IRP_MJ_QUERY_INFORMATION C:\WINDOWS\system32\comctl32.dll SUCCESS FileNameInformation
31846 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll SUCCESS Options: Open Access: 001200A9
31847 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\comctl32.dll SUCCESS Length: 617472
31848 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Manifest NOT FOUND Options: Open Access: 001200A9
31849 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\comctl32.dll.124.Config NOT FOUND Options: Open Access: 001200A9
31850 19:22:35 w3wp.exe:164 IRP_MJ_CLEANUP C:\WINDOWS\system32\comctl32.dll SUCCESS
31851 19:22:35 w3wp.exe:164 IRP_MJ_CLOSE C:\WINDOWS\system32\comctl32.dll SUCCESS
31856 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL SUCCESS Options: Open Access: 001200A9
31857 19:22:35 w3wp.exe:164 FASTIO_QUERY_STANDARD_INFO C:\WINDOWS\system32\WININET.DLL SUCCESS Length: 651264
31858 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Manifest NOT FOUND Options: Open Access: 001200A9
31859 19:22:35 w3wp.exe:164 IRP_MJ_CREATE C:\WINDOWS\system32\WININET.DLL.123.Config NOT FOUND Options: Open Access: 001200A9

这是regmon的部分记录
95577 239.78285217 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95578 239.78358459 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95579 239.78361511 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95580 239.78437805 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95581 239.78536987 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
95582 239.78546143 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95583 239.78771973 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95584 239.78884888 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95585 239.78999329 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95586 239.79003906 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\Generation SUCCESS 0x1
95587 239.79133606 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3e-8727-11e1-ace5-806d6172696f}\ SUCCESS
95588 239.79537964 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS Access: 0x2000000
95589 239.79650879 w3wp.exe:256 OpenKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\ SUCCESS Access: 0x2000000
95590 239.79765320 w3wp.exe:256 CloseKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume SUCCESS
95591 239.79768372 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data BUFFER OVERFLOW
95592 239.79881287 w3wp.exe:256 QueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{433aad3f-8727-11e1-ace5-806d6172696f}\Data SUCCESS 00 00 00 00 5C 00 5C 00 ...
ue</blockquote>

Winxp不幸中毒以及手杀过程相关推荐

手杀主页劫持流氓软件
引流记一次带毒KMS激活工具的手杀过程. 主页劫持|2345|激活工具|流氓软件|浏览器主页|锁主页随便说说入职快一个月了,从一个天天摸摸鱼的大学生成为了一名光荣的打工人.不过在这一个月里也是学 ...
手杀***病毒Trojan.Win32.Generic.11EBD5EC
晚上使用U盘,打开后发现异常情况,如图: 看到了吧,没错,基本可以确定是中病毒了.我尝试打开一个文件,安静了半月有余的瑞星报警: 这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我 ...
某释放驱动的样本分析及手杀报告
此为样本文件下载链接:http://download.csdn.net/detail/cs08211317dn/3982364,压缩包解压缩密码为:virus. 今天花了1个多小时分析了一款名为123 ...
Linux之上一次艰难的木马查杀过程
摘要这次被挂马机器是朋友的一台要上线的生产机器,昨晚装的系统今天2点就挂马了.不说了都是泪,直接说说查杀过程吧. 今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负 ...
“白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
linux下u盘病毒msdos,手杀U盘中ms-dos.com病毒
各种有机农业原因引发中ms-do终究会 s.com病毒,它6生津月份出来,我就中了两有机农业 4 内存卡几乎都潜伏[url=http://club.pchome.net/thread_16_199 ...
网站被中木马并跳转到恶意网站的查杀过程
症状: 访问站点只要后面目录带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转到恶意网站,如果是电脑PC浏览器,就会弹空白页访问站点,让你看不到跳转后的网址,最近也加上 ...
python打包的exe如何免杀_通过Python实现Payload分离免杀过程详解
缺点: 编译成exe以后体积过大实现: msf生成shellcode代码: 将payload给copy下来,去除引号. \x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x4 ...
python 生成payload_通过Python实现Payload分离免杀过程详解
缺点: 编译成exe以后体积过大实现: msf生成shellcode代码: 将payload给copy下来,去除引号. \x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x4 ...
UE4开发手游过程中，遇到的问题
本人初学者,自己尝试开发了一款飞行射击游戏,期间遇到了很多问题,目前已经解决掉了大半.进行短暂的休整,将遇到的问题整理记录下来.也有还没解决的问题,望路过的大佬能找点一二,万分感谢!!! 待解决 1. ...

Winxp不幸中毒以及手杀过程

Winxp不幸中毒以及手杀过程相关推荐

最新文章

热门文章