擒马记
昨天中午出去吃饭没带手机,回来看有个未接来电,于是上网搜一下看这个电话号码是哪里的。搜到一个whatchina.com的网站,我曾用过这个网站查过固定电话号码,还算准确。用IE打开这个网站,刚等我把电话号码输入搜索框,还没来得及回车,IE居然自动关闭了。没多想,再次打开IE,还是这个现象。再做别的操作,速度变得好慢了,心里咯噔一下,完了,可能中招了!先按“Ctrl+Shift+Esc”打开任务管理看一下cpu利用率,好家伙都100%了,再看运行了那些进程,吓了一跳—有不少以数字命名的进程(如:95.exe)。毫无疑问真中招了。
先从这个进程着手,手动结束这些可恶的进程。可是等我关闭完这个,另外一个又起来了,弄得我手忙脚乱,看来这个方法不灵了。与此同时,Symantec Antivirus开始报警,似乎杀掉了一些文件,而另外一些既不能清除也不能隔离,来者不善呀!既然这样不行,我关机重启系统再试,现象依旧。再关机重启,按F8进安全模式,再看进程状况,这下那些恶意程序没运行了。来看开机启动项都加载了什么,在运行里输入 msconfig ,其结果如下图所示:
果然有2个未知项被加载,把它用笔记下来,回头再算帐。最关键的地方是命令的路径和位置(在注册表的位置),是处理问题的着手处。不爽的是不能看见位置的全部内容,只好自己猜测了。现在可以把恶意启动项前面的勾干掉,然后按“应用”及“确定”。
从上面的启动项可以知道恶意程序在注册表的大致位置,运行命令regedit打开注册表,展开项HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Run ,其结果如下图所示:
这下原形毕露,在Run下有2个恶意程序加载项(与msconfig那步看到的一致),二话不说,先斩之;再查同级项目RunOnece,其结果如下:
又藏了两个在这里捣鬼,可恨呀!请注意,这两个项的值与Run项里的值有差异:Run的值数据是可执行文件路径,而RunOnce的数据执行文件再加参数。把RunOnce的项”jkwqfx50”完全展开,其全部内容为:%systemroot%\system32\Rundll32.exe %systemroot%\system32\jkwqfx59.dll DllUnregisterServer
这个项目的作用是运行系统命令 rundll32.exe 偷偷的加载恶意的动态连接库文件(这里是“jkwqfx59.dll”,全部路径也给出来了),这些动态连接库文件就是真正的罪魁祸首。为稳妥起见,我先不消灭它,把它暂时命名成”jkwqfx59.dl”,再把注册表里的那几个恶意项喀嚓掉。我在这里不讲rundll32.exe用法,有兴趣的自己去查一下资料。
接下来,我们来把系统里的由木马生成的恶意可执行文件清理掉。根据前2个步骤,我们不费什么精力就把它们的藏身之所找到了。建议先把它们的名字从*.exe改成*.ex,这样的话windows就不能运行他们了。
原来它们都在目录 c:\windows,为了研究我把它移动到上图的目录。做完这些,我把系统目录大致查看了一篇,又找到几个地方藏了木马程序,如下图:
还以数字命名,正常情况下,目录c:\windows\system32\drivers里不会有可执行文件。选中这些文件,按“Shift”加”Del”键让它们通通见鬼去。同样,在目录c:\windows\fonts 也发现木马可执行文件和动态连接库文件,全歼之。
执行完上述操作后,凭手工并不能把所有的木马程序清除干净,这时候是防病毒软件上场了,完全扫描系统,把它们一网打尽。为啥能生成那么多程序呢?应该是执行rundll32.exe加载恶意动态连接库所为吧。前面我在“windows 任务管理器”结束一个进程而另外一个进程又起来应该也是这个道理,除非我把进程Rundll32.exe停了。
本文转自sery51CTO博客,原文链接:http://blog.51cto.com/sery/60179 ,如需转载请自行联系原作者
