超级BT木马的分析报告与查杀.
昨天载了一个代理猎手,然后中招了.按照以往的方法,结束进程,清注册表,折腾了一个晚上,实在痛苦.今儿早上,又折腾,7点到现在12点,终于把所有它加载与修改的程序和键值都找了出来.实在是BT啊,以下是我的分析报告.
如果中了还是建议重装系统吧,若要手动清除实在是麻烦,不信看下面,我只是说了直接清除方法,没有列出病毒修改的具体数值,因为实在太多了.
病毒会在系统分区根目录下生成如下文件,其他分区中可能也会同时生成:
autorun.inf(达到双击分区"自动运行"病毒的目的)
病毒生成如下文件:
%windir%/1.com
%windir%/CSRSS.exe
%windir%/ExERoute.exe
%windir%/explorer1.com
%windir%/finder.com
%windir%/MSWINSCK.OCX
%windir%/Debug/DebugProgram.exe
%system%/command.pif
%system%/dxdiag.com
%system%/finder.com
%system%/MSCONFIG.com
%system%/regedit.com
%system%/rundll32.com
%Program Files%/Common Files/iexplore.pif
%Program Files%/Internet Explorer/iexplore.com
病毒增加了太多注册表键值,超过100个,我不一一列举了,直接告诉你删除哪些主键:
HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/winfiles
HKEY_CLASSES_ROOT/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/MSWinsock.Winsock
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/winfiles
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
以下是需要单独删除的键值:
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="D:/CSRSS.exe"(注意这里是D盘)
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="C:/Program Files/common~1/iexplore.pif"
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/iexplore.pif
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run >> "Trojan Program"="C:/windows/CSRSS.exe"
HKEY_USERS/S-1-5-21-2052111302-764733703-725345543-500/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="D:/CSRSS.exe"(注意这里是D盘)
HKEY_USERS/S-1-5-21-2052111302-764733703-725345543-500/Software/Microsoft/Windows/ShellNoRoam/MUICache >> "Welcome to Windows NT"="C:/Program Files/common~1/iexplore.pif"
以下是被木马修改的健康键值,需要恢复的键值如下:
恢复HKEY_CLASSES_ROOT/.bfc/ShellNew >> Command的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_CLASSES_ROOT/.exe >> (默认)的值为exefile
恢复HKEY_CLASSES_ROOT/.lnk/ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe"
恢复HKEY_CLASSES_ROOT/cplfile/shell/cplopen/command >> (默认)的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_CLASSES_ROOT/Drive/shell/find/command >> (默认)的值为%SystemRoot%/Explorer.exe
恢复HKEY_CLASSES_ROOT/dunfile/shell/open/command >> (默认)的值为%SystemRoot%/system32/RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_CLASSES_ROOT/ftp/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_CLASSES_ROOT/htmlfile/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_CLASSES_ROOT/htmlfile/shell/Print/command >> (默认)的值为"rundll32.exe %SystemRoot%/system32/mshtml.dll,PrintHTML "%1""
恢复HKEY_CLASSES_ROOT/HTTP/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_CLASSES_ROOT/inffile/shell/Install/command >> (默认)的值为%SystemRoot%/System32/rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_CLASSES_ROOT/InternetShortcut/shell/open/command >> (默认)的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_CLASSES_ROOT/scrfile/shell/install/command >> (默认)的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_CLASSES_ROOT/scriptletfile/Shell/Generate Typelib/command >> (默认)的值为"C:/WINDOWS/system32/RUNDLL32.EXE" C:/WINDOWS/system32/scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_CLASSES_ROOT/telnet/shell/open/command >> (默认)的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_CLASSES_ROOT/Unknown/shell/openas/command >> (默认)的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.bfc/ShellNew >> Command的值为 %SystemRoot%/system32/syncui.dll,Briefcase_Create %2!d! %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe >> (默认)的值为exefile
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.lnk/ShellNew >> Command的值为rundll32.exe appwiz.cpl,NewLinkHere %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Applications/iexplore.exe/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe"
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cplfile/shell/cplopen/command >> (默认)的值为rundll32.exe shell32.dll,Control_RunDLL "%1",%*
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Drive/shell/find/command >> (默认)的值为%SystemRoot%/Explorer.exe
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/dunfile/shell/open/command >> (默认)的值为%SystemRoot%/system32/RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/ftp/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/Print/command >> (默认)的值为rundll32.exe %SystemRoot%/system32/mshtml.dll,PrintHTML "%1"
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/HTTP/shell/open/command >> (默认)的值为"C:/Program Files/Internet Explorer/iexplore.exe" %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/inffile/shell/Install/command >> (默认)的值为%SystemRoot%/System32/rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/InternetShortcut/shell/open/command >> (默认)的值为rundll32.exe shdocvw.dll,OpenURL %l
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scrfile/shell/install/command >> (默认)的值为rundll32.exe desk.cpl,InstallScreenSaver %l
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scriptletfile/Shell/Generate Typelib/command >> (默认)的值为"C:/WINDOWS/system32/RUNDLL32.EXE" C:/WINDOWS/system32/scrobj.dll,GenerateTypeLib "%1"
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/telnet/shell/open/command >> (默认)的值为rundll32.exe url.dll,TelnetProtocolHandler %l
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Unknown/shell/openas/command >> (默认)的值为%SystemRoot%/system32/rundll32.exe %SystemRoot%/system32/shell32.dll,OpenAs_RunDLL %1
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet >> (默认)的值为IEXPLORE.EXE
恢复HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon >> Shell的值为Explorer.exe
删除如下快捷方式:
安全测试.lnk
系统信息管理器.lnk
计算机安全中心.lnk
一些清除过程需要注意的:
到这里,木马清理完毕,重起计算机即可.大家刚开始删除那几个文件的时候,一定会出现写保护无法删除的提示,因为木马伪装成cress.exe的系统文件.在system32里的cress才是健康的系统文件,所以推荐大家载个魔法兔子,用它的自动启动功能里的结束进程工具来终止.
大家在清除的过程中一定要小心谨慎,因为只要你双击某盘(染毒的盘),木马马上会被激活,或者打开IE等操作,只要是有关C盘或染毒盘的操作都会激活木马.真的很BT,要避免这种情况的发生,按一定顺序来,不时的用兔子来刷新监视木马的启动.总之,有条件的话,重新做系统吧.
最后再次痛骂木马作者.
超级BT木马的分析报告与查杀.相关推荐
- 彻底分析ARP病毒查杀防范全攻略
彻底分析ARP病毒查杀防范全攻略 近期在全国范围内大规模爆发arp病毒及其各种变种.如果局域网中发现许多台电脑中毒,电脑中毒后会向同网段内所有计 ...
- 【愚公系列】2023年05月 网络安全高级班 030.应急响应溯源分析(Webshell 查杀⼯具)
文章目录 前言 一.Webshell 查杀⼯具 1.D盾_Web查杀 2.百度 WEBDIR+ 3.河⻢ 4.Web Shell Detector 5.CloudWalker(牧云) 6.Sangfo ...
- 超级BT木马下载器 Gameservet.exe的分析 game1.exe 8888-521ww.exe qjso.exe
今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器 当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻 ...
- 木马病毒的万能查杀方法
"木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法.只要把Form的Visible属性设为False,ShowInTaskBar设为False,程 ...
- incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒 一.病毒简介 二.样本分析 三.查杀与恢复方式 四.预防措施 一.病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows ...
- 360安全卫士的云查杀原理介绍[转]
我有两个感觉:第一个是关于杀毒软件,一个已经做20年的行业,它的核心技术可以说是一直基于收集病毒样本,采集病毒特征,组成病毒库,在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒.现在木马起来之 ...
- Java内存马查杀GUI工具
注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习 功能: 关于Java Web内存马查杀的文章和工具已经有不少,不过大都不够完善,各有缺点:于是我做了一款GUI版本的实时内 ...
- 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...
- “蜥蜴之尾”——长老木马四代分析报告
随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高,病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层.而且病毒作者也开始把PC端的病毒自我保护手段运用 ...
最新文章
- python安装包之后仍提示_解决已经安装requests,却依然提示No module named requests问题...
- 2019 Python100道 面试 题,你会几道?
- python调用api做用户登录认证_(二)Python调用Zabbix api之从入门到放弃——登录并获取身份验证令牌...
- TodoMVC中的Backbone+MarionetteJS+RequireJS例子源码分析之三 Views
- vector public member function
- 深度探索C++对象模型-Data语义学
- Apache Commons Daemon简介翻译
- codeup21158 循环比赛日程表
- 使用OMF(Oracle Managed Files,Oracle管理的文件)的场景示例
- linux core文件调试,Linux程序调试助手–core,解决段错误!
- 【DB笔试面试696】在Oracle中,什么OSWatcher工具?
- vue computed 与mounted 区别
- Dalvik 指令学习
- Xubuntu22.04设置全局代理(一百五十六)
- OpenAnolis开源社区的萌芽与发展
- 猫叫狗叫java_狗叫猫叫动物叫声手机版|狗叫猫叫动物叫声安卓版下载 v1.1 - 跑跑车安卓网...
- 最经典的消息中间件:RabbitMQ
- mac上安装windows系统
- 30万奖金!还带你奔赴加拿大相约KDD!?阿里聚安全算法挑战赛带你飞起!
- 开源服务器日志实时查看系统,开源日志管理系统