一个木马下载者File: eploeree.exeSize: 11776 bytesMD5: A1181A46E690DEE626EB9FAF12264DF0SHA1: 3EF9797B0523E9BD79A349BAE80BEDC667DF41EACRC32: D67BEC7E加壳方式 PECompact 2.x 运唯卜行后 在C盘根目录下生成iede2.exe增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{926A036A-158B-047A-E269-D148B0369C14}指向C:\iede2.exe控制IE连接网络下载木马http://www.h-xx.com/1/1.exehttp://www.h-xx.com/2/2.exehttp://www.h-xx.com/3/3.exehttp://www.h-xx.com/5/5.exehttp://www.h-xx.com/6/6.exehttp://www.h-xx.com/7/7.exehttp://www.h-xx.com/8/8.exehttp://www.h-xx.com/9/9.exehttp://www.h-xx.com/10/10.exehttp://www.h-xx.com/11/11.exehttp://www.h-xx.com/12/12.exehttp://www.h-xx.com/13/13.exehttp://www.h-xx.com/14/14.exehttp://www.h-xx.com/15/15.exe到C盘根目录下 分别命名为win12.exe~win162.exe全部木马植入完毕后生成如下文件 C:\WINDOWS\system32\drivers\usbine.sysC:\WINDOWS\system32\AVPSrv.dllC:\WINDOWS\system32\ctfnom.exeC:\WINDOWS\system32\dh2103.dllC:\WINDOWS\system32\msdebug.dllC:\WINDOWS\system32\MsIMMs32.dllC:\WINDOWS\system32\netsrvcs.dllC:\指老穗WINDOWS\system32\nwizAsktao.dllC:\WINDOWS\含敬system32\nwizAsktao.exeC:\WINDOWS\system32\nwizdh.exeC:\WINDOWS\system32\nwizhx2.dllC:\WINDOWS\system32\nwizhx2.exeC:\WINDOWS\system32\RemoteDbg.dllC:\WINDOWS\system32\windds32.dllC:\WINDOWS\system32\windhcp.ocxC:\WINDOWS\system32\WinForm.dllC:\WINDOWS\system32\WMIApiSrv.dllC:\WINDOWS\system32\ztinetzt.exeC:\WINDOWS\AVPSrv.exeC:\WINDOWS\MsIMMs32.exeC:\WINDOWS\WinForm.exesreng日志如下[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [] [] [][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [Microsoft Corporation]服务[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start] [WMI Performance API / WMIApiSrv][Stopped/Auto Start] [Win32 Debug Service / MSDebugsvc][Stopped/Auto Start] [Win32 Display Driver / Win32DDS][Stopped/Auto Start] [Wireless Service / WZCSRVC][Stopped/Auto Start] 解决方法 安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)打开sreng (就是你扫日志的软件)启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除) [] [] [] [Microsoft Corporation]“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:Windows DHCP Service / WinDHCPsvcWMI Performance API / WMIApiSrvWin32 Debug Service / MSDebugsvcWin32 Display Driver / Win32DDSWireless Service / WZCSRVC双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定然后删除C:\WINDOWS\system32\drivers\usbine.sysC:\WINDOWS\system32\AVPSrv.dllC:\WINDOWS\system32\ctfnom.exeC:\WINDOWS\system32\dh2103.dllC:\WINDOWS\system32\msdebug.dllC:\WINDOWS\system32\MsIMMs32.dllC:\WINDOWS\system32\netsrvcs.dllC:\WINDOWS\system32\nwizAsktao.dllC:\WINDOWS\system32\nwizAsktao.exeC:\WINDOWS\system32\nwizdh.exeC:\WINDOWS\system32\nwizhx2.dllC:\WINDOWS\system32\nwizhx2.exeC:\WINDOWS\system32\RemoteDbg.dllC:\WINDOWS\system32\windds32.dllC:\WINDOWS\system32\windhcp.ocxC:\WINDOWS\system32\WinForm.dllC:\WINDOWS\system32\WMIApiSrv.dllC:\WINDOWS\system32\ztinetzt.exeC:\WINDOWS\AVPSrv.exeC:\WINDOWS\MsIMMs32.exeC:\WINDOWS\WinForm.exe如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
Simone
