autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法

最新推荐文章于 2024-09-05 19:25:59 发布
最新推荐文章于 2024-09-05 19:25:59 发布
阅读量6.4k 收藏
点赞数
分类专栏: 电脑病毒 文章标签: ie microsoft c winform dll 微软

近一段时间,网页木马群猖獗。
中招,一般是访问某些挂马的网页时,成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时,系统内已经木马成堆了。这类木马群的内容各式各样,但有一点相同之处:其中的病毒模块(常见的是dll文件)狂插系统及应用程序进程,导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。

今天见到有人反映类似情形。按照他给的网址,在未打ANI漏洞补丁的系统上,用IE6.0访问了那个网页。结果如愿以偿,终于第一次亲眼见识了一下ANI漏洞的“风采”。

以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程,供中招的朋友们实战参考。

0、用SRENG 2.3 扫系统日志,保存日志,掌握中毒后的基本情况并为手工杀毒提供必要信息。

1、运行IceSword,禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程:
[PID: 1876][C:/windows/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 1464][C:/Program Files/Rising/Rav/RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 440][C:/windows/system32/ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 1832][C:/Program Files/Tiny Firewall Pro/amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 2572][C:/Program Files/Rising/Rav/RAVMON.EXE] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 3304][C:/WINDOWS/system32/shadow/ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 2772][C:/windows/system32/conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 2524][C:/WINDOWS/system32/notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 1696][C:/program files/internet explorer/IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 1800][C:/windows/wsttrs.exe] [N/A, N/A]
[C:/windows/system32/wsttrs.dll] [N/A, N/A]
[PID: 1000][c:/Syswm1i/svchost.exe] [N/A, N/A]
[c:/Syswm1i/Ghook.dll] [N/A, N/A
[PID: 3020][C:/Program Files/Tiny Firewall Pro/UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
[PID: 1348][C:/Program Files/SREng2/SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[c:/Syswm1i/Ghook.dll] [N/A, N/A]
注:由于IceSword是中毒后运行的,因此应查看其进程中是否有病毒模块插入。如果有,须卸除之。
3、删除病毒文件(图1)。
注:C:/Documents and Settings/baohelin/Local Settings/Temp/ie777.exe只有用IceSword才能找到并删除(图2)。ie777.exe似乎是这群木马的“灵魂”,其进程为“隐藏”,但用IceSword和SSM均可见此进程。

4、根据SRENG日志所见,清理注册表(删除下列注册表项):

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]分支下的:
svc
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run]分支下的:
333
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]分支下的:
winform
mppds
upxdnf
msccrt

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services分支下的:
WindowsDown

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services分支下的:
NPF

注意:C:/windows/system32/servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备,请右键打开这些设备,删除其根目录下的autorun.inf和servet.exe。

图1

 

图2

飘的梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql.servet复制到哪,MySQL主从复制
weixin_28765561的博客
03-17 66
MySQL主从复制主从复制类型:异步方式:一般的MySQL复制,主server只负责发送二进制日志,不check从是否完成半同步方式:在一堆从中,主只保证其中一个返回同步完成即可,如果超时,自动降级为异步级联方式:主复制给其中一个从,这个从再复制给后面的一堆从,用于减轻主的负担架构:普通一主多从:带负载均衡的读写分离:带级联复制和负载均衡的读写分离:主从步骤:主上面为每个slave开启一个dump...
mysql.servet复制到哪_Mysql复制及代理
weixin_33600827的博客
01-20 78
#####################################Mysql复制的作用和原理mysql-5.5实现主从复制mysql-5.6主从复制和Mysql_Proxy的实现mysql-5.6基于amoeba实现读写分离#####################################Mysql复制的作用和原理复制的作用辅助实现备份高可用异地容灾scale out:分摊负载My...
针对卡巴,瑞星的servet.exeAutoRun.inf下载者(Trojan-Downloader.Win32.Baser.w )的分析和清除...
weixin_33894640的博客
10-02 117
作者:Westbeck 最近一段时间,下载器类的病毒再次流行,只要中了一个,就会下载十几个病毒。下载的病毒盗号的盗号,感染的感染,耍流氓的耍流氓,还有专门对付杀软的...这样会给用户的清除带来很大的困难,给用户造成很大的损失。下文便对一个下载类的病毒做简单分析。 病毒名称:Trojan-Downloader.Win32.Baser.w (Kaspersk...
木马群cmdbcs.exe,wsttrs.exe,msccrt.exewinform.exe,upxdnd.exe手工杀毒方法
飘的梦客厅
04-07 4445
最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exewinform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马一般sreng日志表现如下启动项目里 (不一定全) [Microsoft Corporation] [Microsoft Corporation] [] [Microsoft Corporation] [N/
CMD.exe占用太多系统资源解决方法.docx
09-26
* C:WINDOWSsystem32servet.exe * C:WINDOWSsystem32mppds.dll * C:WINDOWSsystem32winform.dll 解决方法五:使用 SREng 工具 SREng 是一个注册表编辑工具,可以删除注册表项。使用 SREng 工具删除以下注册表项...
servet.jar
05-20
用于处理javax.servlet.http不存在问题
基于servet+jdbc的在线选房系统源码.zip
08-30
该在线选房系统是采用Java技术栈开发的,主要基于Servlet和JDBC,结合了jsp和SpringBoot框架,适用于毕业设计或项目实践。下面将详细解释这个系统的技术要点和核心概念。 1. **Servlet**: Servlet是Java编程语言中...
windows漏洞扫描.rar
04-05
windows漏洞扫描.rar windows漏洞扫描.rar windows漏洞扫描.rar windows漏洞扫描.rar windows漏洞扫描.rar windows漏洞扫描.rar
JSP JavaBean Servlet实现用户登录和注册.
11-14
此类通常包含getter和setter方法,以便于获取和设置对象属性。例如: ```java public class User { private String user; private String pwd; private String name; // ...其他字段 public String getUser()...
微软云技术深度解析与代码使用案例
运维人生
09-02 1401
通过以上代码使用案例,我们展示了如何在Azure平台上快速部署一个ASP.NET CoreWeb应用。微软云凭借其强大的技术实力和丰富的生态系统,为开发者提供了便捷、高效、可靠的云服务。无论是个人开发者还是企业用户,都可以通过Azure实现自己的业务需求和技术创新。随着云计算技术的不断发展,微软云将继续在AI、大数据、物联网等领域深耕细作,为各行各业提供更加智能、高效的解决方案。我们相信,在未来的云计算时代,微软云将成为推动社会进步和产业升级的重要力量。
全球性“微软蓝屏”事件的深思:网络安全与系统稳定性的挑战与应对
图灵追幕者博客录
09-05 595
近日,由于微软视窗系统软件更新引发的全球性“微软蓝屏”事件,成为科技领域的热点新闻。这次事件不仅影响了全球约850万台设备,波及航空、医疗、传媒等关键行业,还导致美国超过2.3万架次航班延误。如此规模的系统中断,再次将网络安全与系统稳定性的问题推上了风口浪尖。这次事件为我们敲响了警钟,提醒我们必须更加重视网络安全和系统稳定性。那么,如何构建一个更加稳固和安全的网络环境?在网络安全和系统稳定性方面,我们应采取哪些措施?
c# c++程序 交互
清流弯弯
09-02 321
/退出子进程//给C++进程发送。
LiveKit的agent介绍
最新发布
xsgnzb的专栏
09-05 676
LiveKit核心概念:​订阅信息流​agent交互流程赋予用户创建房间的权限,在客户的加入并创建房间。客户的指定ws_url和token,加入指定房间。 离开房间 调用 通知 LiveKit 离开事件。如果应用程序在未通知 LiveKit 的情况下关闭,则将继续显示参与者在 Room 中 15 秒。Swift上,当应用程序退出时,会自动调用 。客户端通过 API 向房间中的任何参与者发布任意数据消息。房间数据通过 WebRTC 数据通道发布到SFU;LiveKit 服务器会将该数据转发给聊天室中
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9017
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3557
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7066
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1718
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2681
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
tomcat servet
10-19
它可以作为Web服务器和应用服务器来使用,支持Java Servlet和JavaServer Pages(JSP)等Java技术。Tomcat Servlet可以通过Java编写的Web应用程序来实现动态网页的生成和处理。同时,Tomcat Servlet也支持与数据库的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值