昨天载了一个代理猎手,然后中招了.按照以往的方法,结束进程,清注册表,折腾了一个晚上,实在痛苦.今儿早上,又折腾,7点到现在12点,终于把所有它加载与修改的程序和键值都找了出来.实在是BT啊,以下是我的分析报告.

如果中了还是建议重装系统吧,若要手动清除实在是麻烦,不信看下面,我只是说了直接清除方法,没有列出病毒修改的具体数值,因为实在太多了.

病毒会在系统分区根目录下生成如下文件,其他分区中可能也会同时生成:
autorun.inf(达到双击分区"自动运行"病毒的目的)

病毒生成如下文件:

%windir%/1.com
%windir%/CSRSS.exe
%windir%/ExERoute.exe
%windir%/explorer1.com
%windir%/finder.com
%windir%/MSWINSCK.OCX
%windir%/Debug/DebugProgram.exe
%system%/command.pif
%system%/dxdiag.com
%system%/finder.com
%system%/MSCONFIG.com
%system%/regedit.com
%system%/rundll32.com
%Program Files%/Common Files/iexplore.pif
%Program Files%/Internet Explorer/iexplore.com

病毒增加了太多注册表键值,超过100个,我不一一列举了,直接告诉你删除哪些主键:

HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/winfiles
HKEY_CLASSES_ROOT/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/MSWinsock.Winsock
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/winfiles
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

以下是需要单独删除的键值:

HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="D:/CSRSS.exe"(注意这里是D盘)

HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="C:/Program Files/common~1/iexplore.pif"

HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/iexplore.pif

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run >> "Trojan Program"="C:/windows/CSRSS.exe"

HKEY_USERS/S-1-5-21-2052111302-764733703-725345543-500/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="D:/CSRSS.exe"(注意这里是D盘)

HKEY_USERS/S-1-5-21-2052111302-764733703-725345543-500/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="C:/Program Files/common~1/iexplore.pif"

以下是被木马修改的健康键值,需要恢复的键值如下:

恢复HKEY_CLASSES_ROOT/.bfc/ShellNew >> Command的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/syncui.dll,Briefcase_Create %2!d! %1

恢复HKEY_CLASSES_ROOT/.exe >> (默认)的值为exefile

恢复HKEY_CLASSES_ROOT/.lnk/ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1

恢复HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe"

恢复HKEY_CLASSES_ROOT/cplfile/shell/cplopen/command >> (默认)的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*

恢复HKEY_CLASSES_ROOT/Drive/shell/find/command >> (默认)的值为%SystemRoot%/Explorer.exe

恢复HKEY_CLASSES_ROOT/dunfile/shell/open/command >> (默认)的值为%SystemRoot%/system32/RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1

恢复HKEY_CLASSES_ROOT/ftp/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_CLASSES_ROOT/htmlfile/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_CLASSES_ROOT/htmlfile/shell/Print/command >> (默认)的值为"rundll32.exe %SystemRoot%/system32/mshtml.dll,PrintHTML "%1""

恢复HKEY_CLASSES_ROOT/HTTP/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_CLASSES_ROOT/inffile/shell/Install/command >> (默认)的值为%SystemRoot%/System32/rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

恢复HKEY_CLASSES_ROOT/InternetShortcut/shell/open/command >> (默认)的值为rundll32.exe shdocvw.dll,OpenURL %l

恢复HKEY_CLASSES_ROOT/scrfile/shell/install/command >> (默认)的值为rundll32.exe desk.cpl,InstallScreenSaver %l

恢复HKEY_CLASSES_ROOT/scriptletfile/Shell/Generate Typelib/command >> (默认)的值为"C:/WINDOWS/system32/RUNDLL32.EXE" C:/WINDOWS/system32/scrobj.dll,GenerateTypeLib "%1"

恢复HKEY_CLASSES_ROOT/telnet/shell/open/command >> (默认)的值为rundll32.exe url.dll,TelnetProtocolHandler %l

恢复HKEY_CLASSES_ROOT/Unknown/shell/openas/command >> (默认)的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/shell32.dll,OpenAs_RunDLL %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.bfc/ShellNew >> Command的值为 %SystemRoot%/system32/syncui.dll,Briefcase_Create %2!d! %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe >> (默认)的值为exefile

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.lnk/ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Applications/iexplore.exe/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe"

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cplfile/shell/cplopen/command >> (默认)的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Drive/shell/find/command >> (默认)的值为%SystemRoot%/Explorer.exe

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/dunfile/shell/open/command >> (默认)的值为%SystemRoot%/system32/RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/ftp/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/Print/command >> (默认)的值为rundll32.exe %SystemRoot%/system32/mshtml.dll,PrintHTML "%1"

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/HTTP/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/inffile/shell/Install/command >> (默认)的值为%SystemRoot%/System32/rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/InternetShortcut/shell/open/command >> (默认)的值为rundll32.exe shdocvw.dll,OpenURL %l

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scrfile/shell/install/command >> (默认)的值为rundll32.exe desk.cpl,InstallScreenSaver %l

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scriptletfile/Shell/Generate Typelib/command >> (默认)的值为"C:/WINDOWS/system32/RUNDLL32.EXE" C:/WINDOWS/system32/scrobj.dll,GenerateTypeLib "%1"

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/telnet/shell/open/command >> (默认)的值为rundll32.exe url.dll,TelnetProtocolHandler %l

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Unknown/shell/openas/command >> (默认)的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/shell32.dll,OpenAs_RunDLL %1

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet >> (默认)的值为IEXPLORE.EXE

恢复HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon >> Shell的值为Explorer.exe

删除如下快捷方式:

安全测试.lnk
系统信息管理器.lnk
计算机安全中心.lnk

一些清除过程需要注意的:

到这里,木马清理完毕,重起计算机即可.大家刚开始删除那几个文件的时候,一定会出现写保护无法删除的提示,因为木马伪装成cress.exe的系统文件.在system32里的cress才是健康的系统文件,所以推荐大家载个魔法兔子,用它的自动启动功能里的结束进程工具来终止.

大家在清除的过程中一定要小心谨慎,因为只要你双击某盘(染毒的盘),木马马上会被激活,或者打开IE等操作,只要是有关C盘或染毒盘的操作都会激活木马.真的很BT,要避免这种情况的发生,按一定顺序来,不时的用兔子来刷新监视木马的启动.总之,有条件的话,重新做系统吧.

最后再次痛骂木马作者.

超级BT木马的分析报告与查杀.相关推荐

  1. 彻底分析ARP病毒查杀防范全攻略

                           彻底分析ARP病毒查杀防范全攻略      近期在全国范围内大规模爆发arp病毒及其各种变种.如果局域网中发现许多台电脑中毒,电脑中毒后会向同网段内所有计 ...

  2. 【愚公系列】2023年05月 网络安全高级班 030.应急响应溯源分析(Webshell 查杀⼯具)

    文章目录 前言 一.Webshell 查杀⼯具 1.D盾_Web查杀 2.百度 WEBDIR+ 3.河⻢ 4.Web Shell Detector 5.CloudWalker(牧云) 6.Sangfo ...

  3. 超级BT木马下载器 Gameservet.exe的分析 game1.exe 8888-521ww.exe qjso.exe

    今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器 当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻 ...

  4. 木马病毒的万能查杀方法

    "木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法.只要把Form的Visible属性设为False,ShowInTaskBar设为False,程 ...

  5. incaformat蠕虫病毒样本分析及查杀防范措施

    2021incaseformat蠕虫病毒 一.病毒简介 二.样本分析 三.查杀与恢复方式 四.预防措施 一.病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows ...

  6. 360安全卫士的云查杀原理介绍[转]

    我有两个感觉:第一个是关于杀毒软件,一个已经做20年的行业,它的核心技术可以说是一直基于收集病毒样本,采集病毒特征,组成病毒库,在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒.现在木马起来之 ...

  7. Java内存马查杀GUI工具

    注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习 功能: 关于Java Web内存马查杀的文章和工具已经有不少,不过大都不够完善,各有缺点:于是我做了一款GUI版本的实时内 ...

  8. 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)

    控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...

  9. “蜥蜴之尾”——长老木马四代分析报告

    随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高,病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层.而且病毒作者也开始把PC端的病毒自我保护手段运用 ...

最新文章

  1. python安装包之后仍提示_解决已经安装requests,却依然提示No module named requests问题...
  2. 2019 Python100道 面试 题,你会几道?
  3. python调用api做用户登录认证_(二)Python调用Zabbix api之从入门到放弃——登录并获取身份验证令牌...
  4. TodoMVC中的Backbone+MarionetteJS+RequireJS例子源码分析之三 Views
  5. vector public member function
  6. 深度探索C++对象模型-Data语义学
  7. Apache Commons Daemon简介翻译
  8. codeup21158 循环比赛日程表
  9. 使用OMF(Oracle Managed Files,Oracle管理的文件)的场景示例
  10. linux core文件调试,Linux程序调试助手–core,解决段错误!
  11. 【DB笔试面试696】在Oracle中,什么OSWatcher工具?
  12. vue computed 与mounted 区别
  13. Dalvik 指令学习
  14. Xubuntu22.04设置全局代理(一百五十六)
  15. OpenAnolis开源社区的萌芽与发展
  16. 猫叫狗叫java_狗叫猫叫动物叫声手机版|狗叫猫叫动物叫声安卓版下载 v1.1 - 跑跑车安卓网...
  17. 最经典的消息中间件:RabbitMQ
  18. mac上安装windows系统
  19. 30万奖金!还带你奔赴加拿大相约KDD!?阿里聚安全算法挑战赛带你飞起!
  20. 开源服务器日志实时查看系统,开源日志管理系统

热门文章

  1. 全面回顾硬盘保护技术
  2. copy语法 postgre_PostgreSql中COPY的用法
  3. 油漆面积 线段树+线扫描 蓝桥杯 java
  4. 下一次 IT 变革:边缘计算(Edge computing)
  5. 修改手机网络服务器在哪里修改,手机网络服务器在哪里设置方法
  6. 新加坡街头都像是花园
  7. 2021免费版的赚钱老项目!日入100不成问题
  8. postgresql PREPARE 用法
  9. em 和rem 是什么?怎么用?
  10. 2022年洪山区光通信产业高级人才引进奖励项目申报条件和申报材料