IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法

File: IO.pif
Size: 19456 bytes
MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1
SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC
CRC32: 9822E714

生成如下文件:
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
在每个分区下面生成一个autorun.inf和IO.pif
达到通过U盘等移动存储传播的目的

调用Cmd利用net stop命令停止以下服务
mcshield
Norton Antivirus Auto Protect Service
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

结束如下进程
regedit.exe
taskgmr.exe
360tray.exe
360safe.exe
噬菌体
木马克星
WoptiClean.exe
EGHOST.exe
Iparmor.exe
MAILMON.EXE
KAVPFW.exe
RogueCleaner.exe

顺序查找以下注册表键值
?.S-1-5-21-1801674531-1645522239-725345543-1003\Software\JetCar\JetCar\General的AppPath键值
SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd里面的Path键值 
?.Software\Microsoft\Windows\CurrentVersion\App Paths\MSMSGS.EXE
?.Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
?.Software\TENCENT\PLATFORM_TYPE_LIST\1 的TypePath键值
以分别获得网际快车,迅雷,MSN,IE,QQ的安装路径
如果查找到了那么即启动相应的文件
(查找方式为顺序查找,如果查找到安装了网际快车,则启动网际快车,不再往下查找)

启动相应的文件以后把自身注入到该进程空间之中,连接网络,下载木马。
http://*.cn/hz/1.exe~http://*.cn/hz/20.exe
到%Program Files%\Internet Explorer\PLUGINS下面
命名为随机8位字母和数字组合。

木马植入完毕以后主要生成如下文件(包括但不限于)
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat(*为随机两位字母)
%Program Files%\NetMeeting\rav*mon.exe(*为随机两位字母)
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe
以及以下这些随机7位字母组合文件名的一些盗号木马
%system32%\avwlain.dll
%system32%\avwlamn.dll
%system32%\avwlast.exe
%system32%\avzxain.dll
%system32%\avzxamn.dll
%system32%\avzxast.exe
%system32%\kaqhacs.dll
%system32%\kaqhcaz.exe
%system32%\kaqhczy.dll
%system32%\kvdxacf.dll
%system32%\kvdxbis.exe
%system32%\kvdxbma.dll
%system32%\kvmxacf.dll
%system32%\kvmxcis.exe
%system32%\kvmxcma.dll
%system32%\rsjzafg.dll
%system32%\rsjzapm.dll
%system32%\rsjzasp.exe
%system32%\rsmyafg.dll
%system32%\rsmyapm.dll
%system32%\rsmyasp.exe

其中的盗号木马会盗取如下网络游戏帐号和密码(包括但不限于)
大话西游II
魔域
完美世界
机战
华夏
魔兽世界
问道
征途
热血江湖
奇迹世界
QQ

下载的木马有禁止自动更新和微软的防火墙的作用
并且会把时间修改成2099年1月1日

sreng日志反映如下(本文转载时略,详细见下文)

清除办法:
一、清除病毒主程序:

首先把系统时间改正确
下载Sreng,下载地址:down.45it.com
重启计算机进入安全模式(重启系统长按F8直到出现提示,然后选择进入安全模式)

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是” 然后确定

右键点击C盘(系统盘) 点击右键菜单中的“打开” 打开磁盘

删除
C:\Io.pif
C:\autorun.inf
%Program Files%\Common Files\Services\svchost.exe
%system32%\DirectX10.dll
同样右键点击其他盘 点击右键菜单中的“打开” 打开磁盘
删除Io.pif和autorun.inf

二、清除下载的木马
1.还是在安全模式下
打开sreng 
启动项目      注册表 删除如下项目 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
        <w><%SystemRoot%\WinRaR.exe>      [N/A]
        <wm><%SystemRoot%\winlogor.exe>      []
        <wl><%SystemRoot%\intent.exe>      [N/A]
        <mm><%SystemRoot%\sourro.exe>      []
        <zx><%SystemRoot%\winadr.exe>      [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>      []
        <avpms><C:\Program Files\NetMeeting\avpms.exe>      []
        <ravwdmon><C:\Program Files\NetMeeting\ravwdmon.exe>      []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示

确定更改时,单击“是” 然后确定
删除如下文件%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\NetMeeting\avpms.dat
%Program Files%\NetMeeting\avpms.exe
%Program Files%\NetMeeting\rav*mon.dat(*为随机两位字母)
%Program Files%\NetMeeting\rav*mon.exe(*为随机两位字母)
%systemroot%\ifc222.dll
%systemroot%\qiji.dll
%systemroot%\rx.dll
%systemroot%\sourro.exe
%systemroot%\winlogor.exe
%systemroot%\Winnt.exe
%SystemRoot%\intent.exe

2.清除随机7位的dll盗号木马
(其实这些就是*pri.dll的变种,仍可以采用重命名方法清除)
仍然是在安全模式下
打开sreng 启动项目 注册表
查看[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的随机7位字母的dll文件,记住他们的名字
然后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

打开C:\windows\system32文件夹 单击上面的搜索按钮
更多高级选项中 要钩选 搜索隐藏的文件和文件夹

分别搜索你记下来的那些随机7位的dll

右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律 
重启计算机后

打开sreng
启动项目      注册表 删除如下项目 (即你刚才在启动项目中看见的所有随机7位字母dll的项目)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll>      []
        <{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll>      []
        <{3D47B341-43DF-4563-753F-345FFA3157D3}><C:\WINDOWS\system32\kvmxcma.dll>      []
        <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll>      []
        <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll>      []
        <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll>      []
        <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll>      []
双击AppInit_DLLs把器键值改为空

并删除刚才重命名的那些dll文件

注:%System32%是一个可变路径。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

%SystemRoot%/          WINDODWS所在目录

%ProgramFiles%\         系统程序默认安装目录

(0)

相关推荐

  • IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法

    File: IO.pif Size: 19456 bytes MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1 SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC CRC32: 9822E714 生成如下文件: %Program Files%\Common Files\Services\svchost.exe %system32%\DirectX10.dll 在每个分区下面生成一个autorun.inf和IO.pif 达到通过U

  • fjOs0r.dll、OnlO0r.dll 木马群的清除方法

    应该是有专门的生成器,遇到很多起了 不写分析了.. 解决方法: 1.下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 下载后直接放桌面. 2.断开网络,关闭不需要的连接. 3.打开冰刃,设置-禁止线程创建,确定. 4.删除以下文件(如提示不存在文件不存在跳过即可): Code:  C:\Program Files\Common Files\fjOs0r.dll   31791 字节  C:\Program Files\Internet Explorer\OnlO0r

  • 利用tasklist与taskkill实现AV终结者新变种(随机7位字母病毒)的删除方法 原创第1/2页

    今天公司的电脑中了这个病毒,卡巴和360都无法运行,因为是xp系统,所以我想到了用tasklist和taskkill实现删除方法,具体方法 复制代码 代码如下: 运行-->cmd.exe先用tasklist >>list.txt得到病毒的pid值然后用taskkill /F /T /PID pid值,/F是强制终止,/T因为病毒有关联程序,必须加上这个才能彻底删除. /PID 就是用tasklist的到的pid值最后用你的杀毒软件和360彻底搜索吧,应该能搜出很多病毒文件 当前1/2页 

  • MySQL服务器 IO 100%的分析与优化方案

    前言 压力测试过程中,如果因为资源使用瓶颈等问题引发最直接性能问题是业务交易响应时间偏大,TPS逐渐降低等.而问题定位分析通常情况下,最优先排查的是监控服务器资源利用率,例如先用TOP 或者nmon等查看CPU.内存使用情况,然后在排查IO问题,例如网络IO.磁盘IO的问题. 如果是磁盘IO问题,一般问题是SQL语法问题.MYSQL参数配置问题.服务器自身硬件瓶颈导致IOPS吞吐率问题. 本文主要给大家介绍的是关于MySQL服务器 IO 100%的分析与优化方案,下面话不多说了,来一起看看详细的

  • roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案

    roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案 用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]): c:\windows\roirpy.exe c:\windows\uunjkd.exe c:\windows\49400l.exe c:\windows\49400m.exe c:\windows\fjrlwx.exe c:\wi

  • 流氓软件ErrorSafe的简单分析清除方法与其他

    这里就简单描述ErrorSafe的分析和应对办法,目前,我这里只能找到两个版本,一个是1.0.22.4,另外一个是1.2.120.1,后者经升级应该是最新版本了,颠倒一下,先给出结论,并列举防范措施,最后是简单分析 结论和推广方式 1.从版本上来看,老版本的ErrorSafe还添加了服务等,而最新版本则是很简单的只添加自启动项,新版本更容易被清除 2.从程序上来看,该软件之所以被国际称为恶意软件,主要是指它的流氓推广方式及其恶劣,犯了众怒,才被人人喊打 由于该程序本身并无流氓特征,其流氓性主要体

  • WinFormA9.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe“飘雪变种“的清除技巧

    "飘雪变种lz"(Win32.Troj.Dropper.lz.21920)这是一个飘雪变种.该病毒会产生随机的病毒文件,分别产生在%systemdir%.%drivers%.%temp%下. 通过生成的病毒文件,从网络上下载隐蔽软件.当用户再次启动机器时,桌面会消失,因为病毒进程在禁止系统 的某些进程启动. "禁闭杀软114688"(Worm.Delf.114688)该病毒是蠕虫病毒,当用户运行后,病毒会通过互联网悄然的下载大量病毒到系统盘的主要 目录下,包括%wi

  • Laravel框架实现redis集群的方法分析

    本文实例讲述了Laravel框架实现redis集群的方法.分享给大家供大家参考,具体如下: 在app/config/database.php中配置如下: 'redis' => array( 'cluster' => true, 'default' => array( 'host' => '172.21.107.247', 'port' => 6379, ), 'redis1' => array( 'host' => '172.21.107.248', 'port'

  • Autorun随机7位字母命名的病毒专杀工具

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>七位字母命名的病毒专杀工具</tit

  • Spring中如何获取request的方法汇总及其线程安全性分析

    前言 本文将介绍在Spring MVC开发的web系统中,获取request对象的几种方法,并讨论其线程安全性.下面话不多说了,来一起看看详细的介绍吧. 概述 在使用Spring MVC开发Web系统时,经常需要在处理请求时使用request对象,比如获取客户端ip地址.请求的url.header中的属性(如cookie.授权信息).body中的数据等.由于在Spring MVC中,处理请求的Controller.Service等对象都是单例的,因此获取request对象时最需要注意的问题,便是

随机推荐