再战AppInit_DLLs木马

原创 2007年09月19日 02:14:00

        09月13日21:57分发现自己再次中毒的,当时在听音乐,foobar2000流畅的音乐稍微卡了下,上次也是这个症状,于是迅速打开任务管理器看了下,果然有大批木马跳了出来。如图:

 

         过了一会,网络开始不断中断,然后自动重连又中断。症状和上次完全一样。系统里面出现奇怪的进程分别是:avwgbmn.dll、rsjzapm.dll、kapjazy.dll、avwlamn.dll

        此时优化大师和AppInit_DLLs木马专杀工具都不能使用,sreng2同时失去作用,应该是木马升级了版本的缘故。整个硬盘绝大部分的exe文件图标发生改变,被木马注入,不过当时并没有发现异样。因为有ghost镜像在,所以就懒得去一一去从注册表清除了,直接ghost恢复了系统。

         然后开机,运行-->cmd-->dir /a,没有发现Autorun.inf的影子。我的ghost里面已经预装了常用的工具,运行系统盘的程序时候也没有问题。不过当我点击其他盘exe文件的时候很快又出现了未重装之前的状况。优化大师、AppInit_DLLs木马专杀、sreng2都无法运行,被木马屏蔽掉了。

        只好再次重装了下,开机,运行-->cmd-->dir /a,在除系统盘外的其他几个盘根目录下发现 Pegefile.pif文件,找到罪魁祸首了,使用 命令行下直接使用del命令不能删除,使用 attrib -h -s -r 去掉Pegefile.pif文件的隐藏系统及只读属性后予以删除,同时清理整个硬盘所有被木马注入的 exe文件,基本上全部的exe文件都要删除掉。不要舍不得,笔者就因为舍不得一个找了好久的安装文件,再次中招,完全清理完毕被感染的exe文件后,整个系统就干净了。

       ps: 命令解析attrib -h -s -r -a [h隐藏| s系统文件| r只读 | a存档文件 ]

       经验教训:把比较重要的程序安装文件做成rar/zip的压缩文件保存比较不容易被木马注入。

以下为用卡巴斯基所扫描的部分结果:木马流毒,甚于洪水猛兽,损失的资料太多了

已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/c++/csf文件播放器.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/LINUX/vncviewer.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/photo/photo/play/piano/iDreamPiano.exe/PE_Patch

已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/方程.exe/PE_Patch
已清除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/计数.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/计算.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/时间日期.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/Kawaks 1.45 最终中文典藏版/WinKawaks.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/Kawaks 1.45 最终中文典藏版/联机对战专用.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/matlab7.0.1安装文件/keygen.exe/PE_Patch

已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/Eclipse_soft/jakarta-tomcat-5.0.28.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/WinRAR_3.70b4_SC.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/视频工具/视频切割/videosplitter.ExE/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/hd/eclipse/eclipse.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/opnet/8.1.A_PL8/8.1.A_PL3_8_Crack/Mk_Lic.exe/PE_Patch

被木马所注入的exe格式的电子书,chm格式的没有受到影响

已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/源氏物语.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中国名山录.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中国侠文化.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中华古籍.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/第五项修炼.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/古文观止.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/杰克-韦尔奇自传.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/论语别裁.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/尼采选集.exe/PE_Patch

以下为整个文件夹在卡巴斯基检查出染毒后被笔者删除后处理情况:

未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication1/bin/Debug/WindowsApplication1.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication1/obj/Debug/WindowsApplication1.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication2/bin/Debug/WindowsApplication2.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication2/obj/Debug/WindowsApplication2.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication3/bin/Debug/WindowsApplication3.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication3/obj/Debug/WindowsApplication3.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication4/bin/Debug/WindowsApplication4.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication4/obj/Debug/WindowsApplication4.exe/PE_Patch

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

AppInit_Dlls键值

如果你对计算机安全有所了解,那么各种各样的注册表启动项应该会有所了解,今天我会细述一个很著名的启动项:AppInit_Dlls键值。     AppInit_Dlls键值位于注册表 HKLM\Mic...

DLL注入练习之注册表主表-AppInit_DLLs表项

上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DL...

AppInit_DLLs

  • 2007-09-19 01:53
  • 68KB
  • 下载

linux 3.4.103 内核移植到 S3C6410 开发板 移植失败 (问题总结,来日再战!)

linux 3.4.103 内核移植到 S3C6410 开发板 这个星期几乎就搭在这里面了,一开始感觉很不值得,移植这种浪费时间的事情,想立马搞定,然后安安静静看书 & coding...

滴滴出行跨出国门,再战Uber胜算有多大?

11月15日消息,滴滴出行宣布与安飞士巴吉集团(Avis Budget Group)达成战略合作协议,双方将为超过3亿中国用户在近175个国家和地区提供境外安飞士(Avis)以及巴吉(Budget)租...

UOJ #31 【UR #2】猪猪侠再战括号序列

贪心(括号序列)

20140330 这几天想做一个安卓的游戏,我还起名字叫"再战" step_1

于是乎.. 我就写了一些想法下来.. 1.        设计: a)        人物具有 “金,木,水,火,土”属性...

面试归来,感觉无望,下次再战

今天去面阿里校招研发岗,同去的还有同班的同学,去之前,我看了自己的简历,感觉写得还不算很花俏,因为之前有很多面经都提示,在简历技能那里写上熟悉时,你得考虑面试官会问你什么。慎重。           ...
  • kamsau
  • kamsau
  • 2014-09-18 00:06
  • 1910

【区间dp】括号序列再战猪猪侠

ydc的题解是只需要两维状态 = = 可是。。。可是我必须写三维才能AC TAT all表示区间[L, R]是(A) 还是 AB。。 为了O(1)判断处理一个二维数组的前缀和。。 还有这个鬼要...

再战浏览器兼容

也许你也喜欢用document.all.*的写法来取得一个页面元素的引用,那么这个习惯是很糟糕的,这个语法只有IE支持,火狐里面是不行的。两者都支持的方法是:document.getElementBy...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)