|
|
|
昨天突然发觉自己系统变慢了,打开进程发现没啥特别的变化····
用几个杀毒软件:检查了一翻,都提示出现了木马病毒。。。
其主要的特征是自动弹出广告,而且怎么样删都删不了···
昨天晚上就baidu了一晚····
试了几个版本····如下:
WNSO.exe,论坛上曾经有人求助,但苦于求助者没能提供样本,更多细节一直无法知晓,今天突然收到了一位朋友发来的样本,非常感谢。
RGGZS目录中有两个程序的版本信息里写着“软告工作室”,知道了RGGZS原来就是它的拼音缩写,好,有安装程序,赶紧安装一下这个流氓,看看它是怎么耍的。
安装后释放了很多东西,随机的文件名目录名,还会访问网络下载信息,看部分文件像是DM(DesktopMedia)的变种。
下面了整理一下文件列表:
[quote]%Windows%\91df2fa.exe (同91di2fa.exe)
%System%\91di2fa.exe (同91df2fa.exe)
%System%\bd706c2e\06nc2.dll (同a.dll)
%System%\bd706c2e\06dc2.exe (同b.exe)
%System%\bd706c2e\06lc2.dll (同c.dll)
%System%\bd706c2e\06rc2.dll (同d.dll)
%System%\drivers\front.sys
%System%\drivers\roreg.sys
%temp%\front.sys
%temp%\roreg.sys
%temp%\find.dll
%temp%\main.dll
%ProgramFiles%\Common Files\RGGZS\SoBar.dll
%ProgramFiles%\Common Files\RGGZS\readme.mht
%ProgramFiles%\Common Files\RGGZS\WSOREM.dll
%ProgramFiles%\Common Files\RGGZS\wsomain.exe
%ProgramFiles%\Common Files\RGGZS\citing.dll
%ProgramFiles%\Common Files\RGGZS\WNSO.exe
%ProgramFiles%\Common Files\RGGZS\res\button1.BMP
%ProgramFiles%\Common Files\RGGZS\res\button2.BMP
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk (指向%ProgramFiles%\Common Files\RGGZS\WNSO.exe)
%AllUsers%\Application Data\startup\Cast\bfyswj.inf
%AllUsers%\Application Data\startup\Cast\yxssj_4000.inf
%AllUsers%\Application Data\startup\Cast\bfrw_4000.inf
%AllUsers%\Application Data\startup\Cast\dxgdgjc.inf
%AllUsers%\Application Data\startup\Cast\GGS\hmd.idx
%USERPROFILE%\Templates\2880d02\a.dll
%USERPROFILE%\Templates\2880d02\b.exe
%USERPROFILE%\Templates\2880d02\c.dll
%USERPROFILE%\Templates\2880d02\d.dll
注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="%Windows%\91df2fa.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="%System%\91di2fa.exe"
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\front]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roreg]
进程:
调用了a.dll/c.dll/d.dll的rundll32.exe
处理的时候先结束掉这个碍眼的rundll32.exe进程,然后尝试看看哪些文件和目录可以删除,这时有如下文件和目录可以删除:
文件:
%Windows%\91df2fa.exe
%System%\91di2fa.exe
%temp%\front.sys
%temp%\roreg.sys
%temp%\find.dll
%temp%\main.dll
目录:
%System%\bd706c2e\
%AllUsers%\Application Data\startup\
%USERPROFILE%\Templates\2880d02\
注册表方面这些可以删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="%Windows%\91df2fa.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="%System%\91di2fa.exe"
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
驱动:
%System%\drivers\front.sys
%System%\drivers\roreg.sys
保护了:
%ProgramFiles%\Common Files\RGGZS\
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\front]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roreg]
不过还好,用IceSword还可以删除驱动的服务项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\front]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roreg]
删除它们,重启后就可以把剩下的文件/目录和注册表内容删除了:
%System%\drivers\front.sys
%System%\drivers\roreg.sys
%ProgramFiles%\Common Files\RGGZS\
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
另一种方法:
常用的方法就是先找出可疑的加载项目,然后再在命令行(最彻底是在纯DOS)下手动删除。
一般难点就在前面的寻找可疑的加载项目,需要结合自己的经验判断,能看出哪些是正常的、系统需要的,哪些是异常的、作用不明的,如果这个难度比较大可以到网上搜索别人的解决经验吧,这个百度是可以搜到的。
比如这个RGGZS就可以搜索到别人的经验,在IceSword的内核模块里面应该能够看到font.sys,roreg.sys;md.sys;rwr2.sys这样形似驱动的自动加载项目,这些项目不去除,对注册表、磁盘文件再怎么操作都是无用功。
转贴http://hi.baidu.com/simpleboy02/ ... e61245d7887d49.html如下:
病毒存在地方:
1:开始—程序---启动---WNSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。 (这个不一定,看病毒的版本)
4:c:\windows(版本为XP)\system32\drivers目录下:font.sys,roreg.sys;md.sys;rwr2.sys,
5:c:\windows\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
7:注册表中有隐藏启动项,WNSO.lnk 的快捷方式,需要第三放软件才到看到(360),无法删除!
8:进程嵌套在winlogn中,无法结束进程。
删除步骤:
启动在安全模式下
1:使用360等工具查看启动项,找出怀疑对象,
2:停止win32服务应用程序:运行gpedit.msc--找到win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。 (这步不做好象也 可以,没有测试过)
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除font.sys,roreg.sys;md.sys。
4:再打开360--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,font,RGGZS,WNSO,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WNSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
8、删除C:\WINDOWS\system32\db8332文件夹。
还有个解决方法:
按F8进入安全模式,之后找到这个病毒文件的根目录c:\program files\common files,病毒文件是底下的 RGGZS并且不能修改名称,但是在安全模式下common file可以改名,修改之,之后进去删除文件夹RGGZS,病毒不能回来了,此时它就乖乖的呆在垃圾箱了,还等什么?删除啊!~最后再把common files这个文件名改回来就是.
个人以上方法试过。或许是流氓软件更新的比较快,所以以上方法都宣告失败。
WIN公布的恶意软件专杀(个人觉得瞒废的)
没办法,去找了一些其他恶意软件清除···
最后选择了360(没啥特别的原因,就是因为它是前2天更新的,而且提供了专杀工具,)
最后系统还在扫描,从次以后,深度痛恨流氓软件。。。
病毒倒没中过几个,流氓软件却中了N多···· |
|
IP卡
狗仔卡
发表于 2007-1-30 11:23
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
