来说个老马
关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。
Trackback
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4316265
回复
|
- 评论人:45
2006-08-17 23:47:26
|
|||
快死了谁能帮忙啊也中了啊我的475552481 |
||||
|
|
- 评论人:anonymous
2006-08-15 17:13:13
|
|||
用瑞星修复注册表解缺下 |
||||
|
|
- 评论人:anonymous
2006-08-15 17:13:03
|
|||
用瑞星修复注册表解缺下 |
||||
|
|
- 评论人:anonymous
2006-08-12 19:49:53
|
|||
谢谢有个着个木马,我家瑞星怎么打不开了?? |
||||
|
|
- 评论人:2008
2006-08-04 16:54:20
|
|||
金山网镖依然用不了 |
||||
|
|
- 评论人:anonymous
2006-07-29 14:43:11
|
|||
为什么我一按结束和程序电脑就会重起呢 |
||||
|
|
- 评论人:姥姥博
2006-07-22 21:23:47
|
|||
暂且不讨论雅虎助手是否流氓软件的问题,关键是它可以解决问题。该中情况下是不能这行文件的,且不可以打开注册表,而用雅虎助手恰恰可以跳过,在页面上恢复注册表,从而恢复关联信息。手动可以恢复吗?或许没这么简单 |
||||
|
|
- 评论人:anonymous
2006-07-21 15:56:09
|
|||
雅虎助手本来就是一个浏览插件属于和3721一样的流氓软件,建议自己手动修复文件连接属性 |
||||
|
|
- 评论人:姥姥博
2006-07-20 20:11:19
|
|||
和工具没有用直接用卡巴斯基的最新版可以杀掉这个木马但是杀掉以后所有的文件将无法使用将会显示如下信息:找不到文件请确定文件名是否正确后,再试一次。要搜索文件,请单击开始按钮,然后单击搜索。这时候可以巧用雅虎助手对注册表进行修复记住一定是用雅虎助手才行 |
||||
|
|
- 评论人:飞浪狂歌
2006-07-15 10:35:46
|
|||
你好啊,老大,能不能帮我一下啊,我好象也中了这个了真晕怎么也搞不死郁闷请问一下,怎么才能找到你说的那堆木马啊?我找了,可是有按你说的那些文件,有一些我找不到我的是79252304。能不能详细点说说不尽感谢 |
||||
|
|
- 评论人:姜生
2006-06-21 08:29:44
|
|||
月亮上面全是水 :您好!我也是中了 这个木马,在按照您的步骤结束进程 . 时就自动重起,反复几次都是一样,您能不能详细的给我指点一下!先谢谢啦!
|
||||
|
|
- 评论人:DJ兔
2006-06-15 22:25:07
|
|||
老大,帮我修复可以吗,加我QQ345745121.我中的是C:\WINDOWS\system32\csrss.exe.你的群是多啊 |
||||
|
|
- 评论人:我是菜鸟
2006-06-08 13:10:37
|
|||
老大~~~我中奖了~~:torjan program six 〈未知描述信息〉 c:\winnt\winlogon.exe
|
||||
|
|
- 评论人:wentimao
2006-05-09 09:56:37
|
|||
呵呵,这个病毒前天刚中过,哈哈,忙了半天,终于修复了,挺长知识的。 |
||||
|
|
- 评论人:吴航
2006-04-01 18:07:54
|
|||
winlogon.exe 不能删除,提示是:“访问被拒绝/请确定磁盘未满或未被写保护而且文件未被使用”,查看属性,发现“隐藏”项是恢色的,不能取消 ,在DOS下,用ATTRIB取消了其属性,再删除,好像也成功了,可重启后,仍还在,请教如何删去它?留言或加我QQ:(233256042)谈,由衷的感激。 |
||||
|
|
- 评论人:姜
2006-03-28 00:42:29
|
|||
大哥在吗?可以加下我QQ帮我删这下木马吗!~我QQ 105457095 |
||||
|
|
- 评论人:洋洋
2006-03-21 17:19:15
|
|||
我一访问qq相册 就是从qq上点击qq相册 这个病毒就回来了
|
||||
|
|
- 评论人:liciping
2006-03-21 09:39:21
|
|||
我的电脑装的是win98系统,也感染了WINLOGON.EXE病毒,怎么也杀不掉,我会按你说的去做的 |
||||
|
|
- 评论人:月亮上面全是水
2006-03-15 14:20:10
|
|||
可以+我Q群啊。 |
||||
|
|
- 评论人:求助者!
2006-03-14 17:07:10
|
|||
大哥!我没弄明白!“可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。”这里再说细点好么?5555555555
|
||||
|
|
- 评论人:喜无偿
2006-03-13 10:11:27
|
|||
高手总是在深山 |
||||
|
|
- 评论人:月亮上面全是水
2006-03-12 21:21:23
|
|||
处理这个病毒关键是结束病毒进程、恢复EXE文件关联和删除病毒文件。 |
||||
|
|
- 评论人:中招
2006-03-05 14:12:09
|
|||
大哥啊,看了你的介绍,我详细的按照去弄了,可是弄不完啊,都一步一步的来的,重起机子后还是会出现,我的是SMSS。EXE那个,在D盘里有autorun.inf和隐藏的command.com,其他的和你上面说的一样,咋办啊,帮帮我。我的QQ83807770 |
||||
|
|
- 评论人:
2006-02-21 18:27:00
|
|||
非常感谢~~~~~~~~~` |
||||
|
|
- 评论人:感谢!!
2006-02-04 20:59:44
|
|||
谢谢!!!一直在找!!!!! |
||||
|
|
- 评论人:月亮上面全是水
2006-02-03 10:28:30
|
|||
呵呵,新年新气象…… |
||||
|
|
- 评论人:C
2006-01-30 17:34:31
|
|||
感激涕零,帮我姐修复了。 |
||||
