本文目录一览:
在内存中杀出一个病毒:“Trojan.inject.st”什么东东?
病毒别名: 处理时间:2005-12-12 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个木马病毒,该病毒会盗取用户机器上的大量敏感信息,并且尝试结束大量的安去软件的进程,并且会开后门被远程控制.对用户的影响极大.
1.生成文件:
C:\Program Files\Internet Explorer\1080.exe
C:\Program Files\Internet Explorer\hook.dll
C:\Program Files\Internet Explorer\inject.exe
C:\Program Files\Internet Explorer\PMIGRATES.DLL
C:\Program Files\Internet Explorer\root.exe
2.修改注册表以下键值,使病毒可以自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
C:\progra~1\intern~1\C0M+
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
C:\progra~1\intern~1\Common startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\progra~1\intern~1\system
3.修改文件关联:
HKLM\SOFTWARE\Classes\inffile\shell\open\command
@
"C:\progra~1\intern~1\1080.exe"
4.尝试结束以下进程;
AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
v *** on.exe
WrCtrl.exe
WrAdmin.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
kvsrvxp.exe
trojdie.kxp
kvmonxp.kxp
kregex.exe
ravmon.exe
ravstub.exe
ccenter.exe
ravtimer.exe
rfwmain.exe
rfwsrv.exe
PFW.exe
5.尝试清除CMOS数据.
找不到Trojan.inject.st,但是找到了Trojan.inject.OU,两个应该是一家的吧
为什么我一启动 *** 游戏就一大堆病毒
机器狗/磁碟机/AV终结者专杀工具
AUTO木马群专杀工具
3.16-3.31感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:关于清理专家反复报告发现某恶意软件的处理办法
论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。
目前,上周末出现Auto病毒入侵相当严重,毒霸 *** 中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。
以下是本周10大病毒列表:
1.Auto病毒群(auto.exe)
详细信息,参阅
2.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅
3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
4. *** .fullexploit.ca.4678(乌鸦喝水4678)
感染日志类似于:
引用:
病毒名称 *** .fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\
病毒名称(中文):乌鸦喝水4678
威胁级别:★★☆☆☆
病毒类型:网页病毒
病毒长度:4678
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问 *** 的时候访问 *** 的时候挂马传播.
1.一旦病毒脚本溢出成功后,会从上下载木马程序运行
2.该溢出脚本对应的漏洞溢出模块的CSLID如下:
baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9
BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2
迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F
受影响的realplayer版本号:
“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、
“Windows RealPlayer 10”、
“Windows RealOne Player v2 (6.0.11.853 - 872)”、
“Windows RealOne Player v2 (6.0.11.818 - 840)”
解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。
5.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户 *** 服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户 *** 服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer { *** 地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
6.Win32.Troj.InjectT.gh.180736
升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。
查毒日志类似于
引用:
病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功
7.Win32.Troj.OnLineGamesT.gr.2637
查毒日志类似于
引用:
Win32.Troj.OnLineGamesT.gr.2637
Win32.Troj.OnlineGamesT.zy.123185
Win32.Troj.Agent.ol.61440
Win32.Troj.OnlineGamesT.xy.44337
Win32.Troj.OnlineGamesT.gr.2637
问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)
病毒分析:
引用:
病毒类型:木马
文件大小:17836 byte
二、 病毒描述:
该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。
三、 行为分析
生成文件:
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
写注册表启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"
Type: REG_SZ
Data: C:\WINDOWS\upxdnd.exe
将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。
解决方案:
引用:
使用金山清理专家粉碎以下文件或升级到最新后查杀。
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
然后使用清理专家删除以下残留的注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
upxdnd
8.Win32.Troj.RootkitT.k.16800
染毒日志类似于
引用:
win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys
病毒名称(中文):病毒保护伞16800
威胁级别:★★☆☆☆
病毒类型:黑客工具
病毒长度:16800
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
9.Win32.Troj.AgentT.fm.14452
病毒分析:
病毒名称(中文):网游盗贼14452
威胁级别:★★☆☆☆
病毒类型:偷密码的木马
病毒长度:14452
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的 *** 游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。
1.病毒运行后,产生以下病毒文件(文件名不定)
C:\WINDOWS\system32\avzxest.exe
C:\WINDOWS\system32\avzxemn.dll
C:\WINDOWS\system32\avzxein.dll
c:\WINDOWS\Fonts\mszhasd.fon
2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,以便随系统启动。
3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,以便随系统启动。
4.病毒运行后,会删除自身,用户发现文件点击后消失。
5.修改注册表,禁用系统防火墙和自动更新功能。
6.不断地写2、3提到的注册表项,防止被删除。
7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.
清除方案:
使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。
c:\windows\system32\avzxest.exe
c:\windows\system32\avzxemn.dll
c:\windows\system32\avzxein.dll
c:\windows\Fonts\mszhasd.fon
重启后,再用清理专家修复注册表中的残留信息。
10.Win32.TrojDownloader.Agent.49152
这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。
查毒日志类似于
引用:
C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒
C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920
中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈()
参考资料:
急呀~!这些代码是那种木马病毒?
1》troian.win32.inject.aemy
2》back door/win32.trojan
3》trojan/win32.superi
这些是病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随IEXPLORER.EXE进程的启动而启动的目的。helper.dll随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接 *** ,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
用木马清道夫可以彻底清除!如果重装的话也可能在激活!因为它们产隐藏在C盘分区中,只有重新设置分区才行!用DOC工具箱来重新规划C盘分区!