45fan.com - 路饭网

搜索: 您的位置主页 > 电脑频道 > 电脑教程 > 阅读资讯:如何解决auto.exe(Worm.Win32.Agent.wn)恶意下载器木马?

如何解决auto.exe(Worm.Win32.Agent.wn)恶意下载器木马?

2015-09-10 10:41:23 来源:www.45fan.com 【

如何解决auto.exe(Worm.Win32.Agent.wn)恶意下载器木马?

 

其实此病毒就是前些日子流行的木马下载器rising.exe的变种,改个名字而已,手法相同。

File: auto.exe
Size: 20139 bytes
MD5: C8C1710C47B42258023F620D0C047F36
SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E
CRC32: 0F6AC47C

病毒运行后,病毒将检测系统是否装有卡巴斯基软件,如装有卡巴斯基软,则将系统日期修改为2005年1月18日!并在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务。同时释放一个随机8位数的dll文件。控制winlogon把那个随机8位数的dll 插入几乎所有进程!遍历所有分区,在根目录下生成auto.exe和autorun.inf两个文件!

作者在病毒里留下了自己的QQ号

连接网络60.191.135.155:80 下载木马:

首先读取http://count.xxxxxxxxxx.com/cnzz//update.txt 的下载配置文件,然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹,并下载http://count.xxxxxxxxxx.com/cnzz/soft/cnzz.exe更新自身

具体木马下载的过程:(略)

木马植入成功后
增加的文件如下

C:Program FilesInternet ExplorerConnection Wizardicwres.ocx
C:Program FilesInternet ExplorerConnection Wizardisignup.dll
C:Program FilesInternet ExplorerConnection Wizardisignup.sys
C:WINDOWSsystem32107E7AF5.DLL(随机文件名)
C:WINDOWSsystem32AC254E44.EXE(随机文件名)
C:WINDOWSsystem32AVPSrv.dll
C:WINDOWSsystem32B96A05C.EXE(随机文件名)
C:WINDOWSsystem32bcawvt.dll
C:WINDOWSsystem32chzzyi.dll
C:WINDOWSsystem32dllhost32.exe
C:WINDOWSsystem32eykesr.dll
C:WINDOWSsystem32F7F735F8.DLL(随机文件名)
C:WINDOWSsystem32gafjib.dll
C:WINDOWSsystem32humnyb.dll
C:WINDOWSsystem32install.exe
C:WINDOWSsystem32kxxxxxxxxxxx.exe(随机文件名)
C:WINDOWSsystem32k118335740863qso.dll
C:WINDOWSsystem32mppds.dll
C:WINDOWSsystem32msdebug.dll
C:WINDOWSsystem32Msf3sf.sys
C:WINDOWSsystem32nwizdh.exe
C:WINDOWSsystem32qqcnpk.dll
C:WINDOWSsystem32Shell.exe
C:WINDOWSsystem32Shell.pci
C:WINDOWSsystem32skblsj.dll
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32unlmon.dll
C:WINDOWSsystem32upxdnd.dll
C:WINDOWSsystem32uzgeey.dll
C:WINDOWSAVPSrv.exe
C:WINDOWSfqpatv.exe
C:WINDOWSmppds.exe
C:WINDOWSTIMHost.exe
C:WINDOWSupxdnd.exe
其中C:WINDOWSsystem32Shell.exe为感染下载者 感染除系统分区外的所有exe 并且在每个分区根目录

下面生成pagefile.pif文件

sreng日志如下

启动项目
注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
<Shell><"C:WINDOWSsystem32Rundll32.exe" "C:WINDOWSsystem32

shell32.dll",Control_RunDLL "C:DOCUME~1ADMINI~1LOCALS~1Tempdat9.tmp"> [N/A]
<Shell.exe><C:WINDOWSsystem32Shell.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<upxdnd><C:WINDOWSupxdnd.exe> []
<mppds><C:WINDOWSmppds.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<AVPSrv><C:WINDOWSAVPSrv.exe> []
<Microsoft Autorun1><C:WINDOWSsystem32nwizdh.exe> []
<Microsoft Autorun9><C:WINDOWSsystem32Ravasktao.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:DOCUME~1ADMINI~1LOCALS~1Tempdat9.tmp>

[]
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:WINDOWSsystem32k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:Program FilesInternet ExplorerConnection

Wizardisignup.sys> []

服务
[3FC3578B / 3FC3578B][Stopped/Auto Start]
<C:WINDOWSsystem32AC254E44.EXE -k><Microsoft Corporation>
[E539E00C / E539E00C][Stopped/Auto Start]
<C:WINDOWSsystem32B96A05C.EXE -p><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
<C:WINDOWSsystem32rundll32.exe msdebug.dll,input><Microsoft Corporation>
进程
[PID: 1456][C:WINDOWSExplorer.EXE] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
[C:DOCUME~1ADMINI~1LOCALS~1Tempdat9.tmp] [N/A, ]
[C:WINDOWSsystem32k118335740863qso.dll] [N/A, ]
[C:Program FilesInternet ExplorerConnection Wizardisignup.sys] [N/A, ]
[C:WINDOWSsystem32upxdnd.dll] [N/A, ]
[C:WINDOWSsystem32AVPSrv.dll] [N/A, ]
[C:WINDOWSsystem32107E7AF5.DLL] [Microsoft Corporation, ]
[C:WINDOWSsystem32F7F735F8.DLL] [Microsoft Corporation, ]
[C:WINDOWSsystem32TIMHost.dll] [N/A, ]
[C:WINDOWSsystem32dh2104.dll] [N/A, ]
[C:WINDOWSsystem32Ravasktao.dll] [N/A, ]
[C:WINDOWSsystem32uihfev.dll] [N/A, ]


解决办法:

如果时间被改,首先把日期改回来

打开sreng(可到down.45it.com下载)

启动项目 注册表 删除如下项目(详细步骤:打开SREng-启动项目-注册表)

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
<Shell><"C:WINDOWSsystem32Rundll32.exe" "C:WINDOWSsystem32

shell32.dll",Control_RunDLL "C:DOCUME~1ADMINI~1LOCALS~1Tempdat9.tmp"> [N/A]
<Shell.exe><C:WINDOWSsystem32Shell.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<upxdnd><C:WINDOWSupxdnd.exe> []
<mppds><C:WINDOWSmppds.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<AVPSrv><C:WINDOWSAVPSrv.exe> []
<Microsoft Autorun1><C:WINDOWSsystem32nwizdh.exe> []
<Microsoft Autorun9><C:WINDOWSsystem32Ravasktao.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:DOCUME~1ADMINI~1LOCALS~1Tempdat9.tmp>

[]
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:WINDOWSsystem32k118335740863qso.dll> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:Program FilesInternet ExplorerConnection

Wizardisignup.sys> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

3FC3578B / 3FC3578B
E539E00C / E539E00C
Win32 Debug Service / MSDebugsvc


重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作

系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹 按钮 进入资源管理器。从资源管理器中进入C盘 删除:

C:autorun.inf
C:auto.exe
C:pagefile.pif
C:Program FilesInternet ExplorerConnection Wizardicwres.ocx
C:Program FilesInternet ExplorerConnection Wizardisignup.dll
C:Program FilesInternet ExplorerConnection Wizardisignup.sys
C:WINDOWSsystem32107E7AF5.DLL(随机文件名)
C:WINDOWSsystem32AC254E44.EXE(随机文件名)
C:WINDOWSsystem32AVPSrv.dll
C:WINDOWSsystem32B96A05C.EXE(随机文件名)
C:WINDOWSsystem32bcawvt.dll
C:WINDOWSsystem32chzzyi.dll
C:WINDOWSsystem32dllhost32.exe
C:WINDOWSsystem32eykesr.dll
C:WINDOWSsystem32F7F735F8.DLL(随机文件名)
C:WINDOWSsystem32gafjib.dll
C:WINDOWSsystem32humnyb.dll
C:WINDOWSsystem32install.exe
C:WINDOWSsystem32kxxxxxxxxxxx.exe(随机文件名)
C:WINDOWSsystem32k118335740863qso.dll
C:WINDOWSsystem32mppds.dll
C:WINDOWSsystem32msdebug.dll
C:WINDOWSsystem32Msf3sf.sys
C:WINDOWSsystem32nwizdh.exe
C:WINDOWSsystem32qqcnpk.dll
C:WINDOWSsystem32Shell.exe
C:WINDOWSsystem32Shell.pci
C:WINDOWSsystem32skblsj.dll
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32unlmon.dll
C:WINDOWSsystem32upxdnd.dll
C:WINDOWSsystem32uzgeey.dll
C:WINDOWSAVPSrv.exe
C:WINDOWSfqpatv.exe
C:WINDOWSmppds.exe
C:WINDOWSTIMHost.exe
C:WINDOWSupxdnd.exe

同理打开其他分区 删除其他分区根目录下的
autorun.inf
auto.exe
pagefile.pif

升级杀毒软件至最新版本 全盘杀毒!清理被感染的exe。如怕存在其它恶意软件,可到down.45it.com下载360安全卫士进行清理!

 

本文地址:http://www.45fan.com/dnjc/20598.html
Tags: 恶意 auto.exe Worm.Win32.Agent.wn
编辑:路饭网
关于我们 | 联系我们 | 友情链接 | 网站地图 | Sitemap | App | 返回顶部