此篇寫於2009/07/18,從晚上10點開始到淩晨4點,但當時是中毒狀態,壹邊殺毒壹般寫,結果本來都寫好了,但操作時IE崩潰了,12點後的我沒保存,全部沒了,當時心痛,真的很痛,19號有事外出,沒寫,今天補上,紅色部分為木馬或特別說明,淡紅色為說明,請看完這篇文後再實踐,總結在最後,記得要先看
第壹篇,工具篇
去下sreng,xuetr,wsyscheck0116中文版,process explorer,沒有去網上下,沒網用U盤拷,沒U盤,沒U盤也繼續看
sreng
/
wsyscheck0116中文版
/?q, 然後桌面不能用,explorer.exe被強奸了,下完就有桌面了,然後分析幹什麽事,
重啟後沒有桌面,但妳等會就有了,用process explorer看的話會發現當explorer.exe下面蹦出rundll32.exe後桌面就出來,簡單說就是explorer加載了rundll32.然後rundll32.exe加載木馬,壹會就出現xttp6j11x.exe,cmd.exe有3個,cmd不是木馬,只是被調用了,壹個iexplore.exe,IE知道吧,妳沒開網頁也會有,不要搞忘了,壹個1a1.exe,QQ登不上,有中獎消息提示妳
總結下:進程出現
xttp6J11x.exe,在c:\windows\system32目錄下
1a1.exe ,在c:\windows\system32目錄下
iexplore.exe 被木馬強奸的,結束就可以了不用刪
cmd.exe 被木馬強奸的,結束就可以了不用刪,有3個,我這的是3個
QQ無法登陸,出現QQ中獎消息提示
上面說的都是基本癥狀,就是簡單看出來的,下面我們用這幾個軟件看看,重點部分了,這裏妳搞明白了,以後妳中毒就就會做了,
用sreng看,我直接掃描報告,把報告裏面的部分東西貼上來,具體分析
啟動項目 ,也就是軟件上的那個啟動項目裏面的東西,更具體了,有壹個正常的對比
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Component Publisher] 有說明,此項對比用
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A] 這裏通常什麽都沒有的註意了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<system><C:\WINDOWS\system32\system.exe> [] ←我說的那個[ ] ,木馬添加自啟動項
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<stup><C:\WINDOWS\system32\1a1.exe> []←我說的那個[ ] ,木馬添加自啟動項
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll,> [] 木馬
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll> []木馬
<{22EEBD06-A251-44C3-BB16-426025319471}><C:\WINDOWS\system32\e999G49bN.dll> []木馬
<{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll> []木馬
<{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll> []木馬
<{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll> []
<{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll> []
-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll> []
<{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll> []
<{C1606DC4-C352-4B1F-A0B5-52DF3204E05D}><C:\WINDOWS\system32\up9fEkYRsKHT.dll> []木馬
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll> []
<{41912A21-4337-4E99-8C30-80A8434B0793}><C:\WINDOWS\system32\zHvqM6hMxwpem.dll> []
<{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon> []
<{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll> []
<{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll> []
<{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll> []
<{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll> []
<{DA112397-5376-4E52-A333-A85284658DEA}><C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon> []木馬 fon格式的,這種我找不到源文件,
由於太多,我就不全部標記,也沒貼全,畢竟這只是例子,大家自己找,自己判斷,就找數字字母混合型,N/A,[ ] File is missing 的看自己了,最好記下來,後面有用,
啟動文件夾 壹般木馬不會放這,但不排除也有
N/A
=========== =======================
服務
太多,就貼個正常的對比下,和木馬
[Intel?PROSet/Wireless WiFi Service / S24EventMonitor][Running/Auto Start]
<C:\Program Files\Intel\WiFi\bin\S24EvMon.exe><Intel(R) Corporation> 無線網卡的,有說明
[xttp6J11x / xttp6J11x][Running/Auto Start]
<C:\WINDOWS\system32\xttp6J11x.exe><N/A> 上面提到的,在進程裏的那個程序,此項可以直接在sreng那裏刪除後停止啟動,xuetr也行。
驅動
驅動程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Manual Start]
<system32\DRIVERS\asyncmac.sys><N/A> 對比5,6月份報告沒有此項,但7月份有,無法判斷是不是正常,我先放著了
[eamon / eamon][Running/Auto Start]
[ehdrv / ehdrv][Running/System Start]
<system32\DRIVERS\ehdrv.sys><N/A> 對比 5 6月份沒有,7月份有,發現是ESET的,難道是因為是把360版換成官方版的緣故?
peio / peio][Running/Manual Start]
<\?\C:\WINDOWS\system32\Drivers\peios.sys><N/A> 對比567月都沒有,暫時判斷為木馬
[yrgpvq / yrgpvq][Running/Boot Start]
<\SystemRoot\system32\drivers\lwtsg.sys><N/A> 不用對比,我直接判斷為木馬,服務名驅動名都是亂七八糟的,妳不要問為什麽,我的感覺,時間久了妳也就能感覺了
正在運行的程序
我就貼兩個個出來說明下,
[PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/A, ] 那個木馬,
標記看到了嗎?system.exe沒有運行,因為我重啟後ESET的殺毒程序沒啟動,但服務啟動了,估計被殺了,還有上面提到幾個也都沒有,
在這我要說下,不是廣告不是托,ESET比瑞星強,我那網友開著瑞星我幫他QQ遠程,進程裏那幾個木馬都在,瑞星除了自保了,什麽也沒做,掃也掃不到,所以給大家的建議,裝瑞星的還是卸了吧,再說壹遍,我不是托,我的經歷告訴我瑞星不行,不要和我辯,妳可以選擇繼續用瑞星那個不咋地的殺軟,
[PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)]
插入型的木馬,壹般是dll文件,fon文件,插在IEXPLORE.EXE裏
[C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll] [N/A, ] 這個木馬每個都插,厲害,也不怕身體受得了受不了,也點H嗎?
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)] 我正常的很
[C:\Documents and Settings\jly\Application Data\S3.dll] [N/A, ] 木馬,
[C:\WINDOWS\system32\mtlrd.dll] [, 4.4.3.0]
[C:\WINDOWS\system32\COMRes.dll] [Microsoft Corporation, 2001.12.4414.42] 網友那個
COMRes.dll被木馬替換還是感染什麽的我說不好,但是網友的標記為N/A,肯定是木馬了,就是最近流行的COMRes.dll找不到入口點什麽的,我這個沒有,奇怪,難道我長的帥?如果妳的被替換,請參照問答篇
[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 木馬 這個字庫格式的木馬我找不到路徑,所以沒的刪除,但妳按路徑打的開,沒辦法我改了打開方式,讓他用記事本打開,我只是想看看怎麽找這個文件,在這說下,沒什麽意思,
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll] [N/A, ]木馬
[C:\WINDOWS\system32\taNjsFa2tT2Dh.dll] [N/A, ]木馬
[C:\WINDOWS\fonts\uXUsF2RrQy.fon] [N/A, ]木馬
[C:\WINDOWS\system32\Va7SpUWgCA5f.dll] [N/A, ]木馬
[C:\WINDOWS\system32\08223B03.dll] [N/A, ] 木馬
[C:\WINDOWS\fonts\xPjWNGd8cERq.fon] [N/A, ] 木馬
[C:\WINDOWS\fonts\fyrwJf5Qfhh.fon] [N/A, ] 木馬
[C:\WINDOWS\system32\704C3595.dll] [N/A, ] 木馬
[C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon] [N/A, ] 木馬
[C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll] [N/A, ] 木馬
[C:\WINDOWS\system32\JPccCJnKygDdp3.dll] [N/A, ] 木馬
[C:\WINDOWS\system32\76B9BA7A.dll] [N/A, ] 木馬
[C:\WINDOWS\system32\skcfujQ5EDN.dll] [N/A, ] 木馬
[C:\WINDOWS\system32\e999G49bN.dll] [N/A, ] 木馬
[C:\WINDOWS\system32\xg4hAPNygs29.dll] [N/A, ]木馬
[C:\WINDOWS\system32\Mit47503109Lic.dll] [, 1, 0, 0, 1] 判斷不好,放著了
[C:\WINDOWS\system32\up9fEkYRsKHT.dll] [N/A, ] 木馬
我沒有貼全,但妳壹定要找全,並記下名字,後面有用,現在可能會很繁瑣,但以後就不會了,熟能生巧
下面的這兩項有問題就修復下吧,殺毒後修復
Autorun.inf
HOSTS 文件
上面用sreng這個軟件查看部分就結束了,如果妳熟悉的話都可以處理了,但我沒有處理,就是想壹步壹步說明,當妳熟悉後,妳自然知道怎麽做了
xuetr功能使用說明 簡單說明
這裏我們就要操刀了。sreng只是輔助使用,xuetr才是主角,,補充:妳可以用類似xuetr的工具,如冰刃,狙劍,等等,
首先打開xuetr,
本工具配置 :這裏可以全部√上,也可以不管,個人操作習慣問題。
映像劫持:裏面有東西,試試刪除,如果在本工具配置那都√上了,裏面有東西妳刪除後刷新也不會再有了,如果妳沒配置,刷新後又有,可以不用管,殺完毒再刪就沒了
DCP定時器,不知道幹什麽的,沒用過,不管
服務:找沒文件廠商,沒描述,名字怪怪的,知道怎麽怪吧?這裏壹般都是Microsoft Corporation居多,還有顯卡廠商,壹些軟件廠商,殺軟,播放器廠商等等,要仔細看,我以前就看到個廠商叫computer is here的廠商,妳告訴我這是不是木馬,肯地是。,找到後根據sreng的報告選擇刪除或停止服務,建議用停止,因為有時不能判斷,
其他的不說了,直接看內核那
內核模塊:這裏比較危險,刪錯容易藍屏死機,所以要判斷準確了,同樣和服務那樣找,xuetr.sys這個沒廠商,這是xuetr自己的驅動,不要刪了。 不確定的校驗數字簽名
進程:
建議值保留,其他都結束了
System Idle Process 系統空閑進程,級別高,沒有映像路徑
System 系統關鍵進程,映像路徑 是system
smss.exe system32目錄下,系統關鍵進程,
csrss.exe system32目錄下,系統關鍵進程
winlogon.exe system32目錄下,系統關鍵進程
services.exe system32目錄下,系統關鍵進程
lsass.exe system32目錄下,系統關鍵進程
svchost.exe system32目錄下,系統關鍵進程,有幾個留幾個
wmiprvse.exe system32\wbem下,可能妳的沒有
explorer.exe windows目錄下,簡單說就是桌面,沒了就沒桌面,可以結束,沒桌面不習慣,留著
ctfmon.exe system32目錄下,輸入法,沒了沒輸入法,可以沒有,不習慣?留著吧
XueTr.exe xuetr自己,任意目錄下,看妳放哪了
結束進程出現60秒倒計時關機時在運行裏輸入 shutdown -a 記得敲 回車鍵 或 點 確定,如果有殺毒進程的話也可以留著,
為什麽留這幾個進程?還記得木馬喜歡插嗎?進程少,妳幹活就少啊,並且把木馬進程也結束了是吧
現在開始卸載dll,上面我們已經刪除驅動和服務了還記得嗎?卸載完dll就大功告成,殺軟肯定能打開了,如果打不開,就是還有漏的,繼續找,重復以上步驟,直到殺軟能打開掃描殺毒為止
壹個壹個進程看,右鍵查看進程模塊,找到我上面要妳記下的那些N/A的嗎?全局卸載,壹般這些木馬在這也是壹樣,沒文件廠商,全局卸載過程中可能會出現桌面崩潰,軟件崩潰,等等,不用管,只要不死機就行,記得最後卸載xuetr裏面的,不然xuetr死了後妳用任務管理器結束不了,要重啟機器,那樣妳就白忙了
註意:有可能妳會發現sreng掃描的標記為N/A,[ ] 那些,就是妳記的那些,在xuetr看有文件廠商,妳會奇怪為什麽了,我也不明白,但壹般妳校驗數字簽名的話 沒有簽名就可以卸載了,但有的沒文件廠商,妳校驗數字簽名有簽名的不要卸載
全部卸載完打開殺軟,殺毒吧,
總結:我們可以看到木馬的幾個通性,名字怪,08223B03.dll 純數字,xg4hAPNygs29.dll,xttp6J11x.exe,混合型,lwtsg.sys 沒規律的字母組合,sreng掃描都是N/A, xuetr,看數字簽名基本沒有
peios.sys 這是木馬,我上面無法判斷,所以我停止服務,但沒刪,ESET 啟動後掃到為木馬並且隔離了
asyncmac.sys ,不是木馬,ESET沒報,查看文件有廠商,是微軟的,網上檢測 ,過了,沒事
壹般用xuetr是先結束進程,後停止服務,在刪除內核的木馬,上面是根據軟件界面來的,但同樣可行,
殺軟啟動後就可以把病毒木馬殺了,只要妳別用瑞星就行,
最後用xuetr修復映像劫持,這樣妳的很多軟件就能打開了,sreng修復累死人,不建議用,修復HOSTs用sreng,xuetr不好用,此木馬修改的首頁也可以改回來了,,任務欄的快捷方式要點屬性把後面的/?q,刪了
掃描sreng報告時最好關了網頁,QQ,等所有軟件,減少掃描內容方便大家看
那個木馬我放到www.jlys.ys168.com裏了,圖片區,想玩的去下