文章标签 ‘autoruns’
首先请各位到http://www.arswp.com下载Windows 清理助手进行自动扫描清理!
如果windows清理助手不能清理的,请各位用下面的手动方法清理!
请在清理前下载以下几个工具备用(重要):
点击下载:Autoruns.exe
点击下载:WinsockFix.exe
开机狂点F8键进入安全模式,
首先在文件夹选项中去除“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾,和选中“显示所有文件和文件夹”,应用确定。
删除windows目录下的
wupdmgr.exe
kbmw.dll
wupdmgr.dll
文件和system32目录下的
srvdll32.dll
文件,然后运行Autoruns.exe,
选择Internet Explorer标签,
删除CLSID为{36E0FD11-A9E2-4260-96EA-6209F1B79777}的项目,
删除所有liangtu.net的快捷方式,
重启即可!
注:如果清理病毒后不能上网,那么系统的TCP/IP协议被病毒破坏了,请使用WinsockFix.exe修复TCP/IP协议,
使用方法:
如果您是手动分配的IP地址和更改过HOSTS文件,请先备份您的IP地址和HOSTS文件,然后运行WinsockFix.exe,点击“Fix”按钮,出现提示确定重启即可。
一、概述
近来中了piaoxue.com和feixue.com招的用户很多,一直在想办法收集样本,今天终于下载了一个病毒包,里面有七八个流氓软件,其中有一个就是飘雪(现在流氓软件服务真好,买一送十)。以身试毒,把常有的武器都用上了,基本把它的思路分析清楚了。
二、过程分析
程序安装的时候,会首先检查有没有安装(HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX),如果安装过了,就直接退出。所以可以根据这一点来免疫。
接着检查是否安装了虚拟机(通过检查HKLM\Software\VMware,Inc.\VMware Tools值),如果安装了,则直接退出。这点主要是防范系统调试人员,如果在虚拟机上安装,就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机,呵呵。
它没有采用BHO这种流氓也容易被杀的方式,通过随机生成一个驱动,安装驱动到(%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。
驱动加载后,通过生成两个线程附加到system这个系统核心进程上,获取最高权限。
通过Process Explorer可以查看到这两个线程:
这两个线程一直不住地检查注册表(HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉,会提示没有权限。另外用冰刃(IceSword 点击下载IceSword.exe)这个工具也可以看到,但是杀不掉。。。
看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。
因为驱动是属于Boot Bus Extender组的,在操作系统加载时就会被加载,所以即使安全模式下也会加载,所以到安全模式下删除也是无效的。
看得出来飘雪为了防范目前的杀流氓软件工具,下了不少的工夫,已经试验过的多种工具无效:
IceSword删除驱动文件无效,Procexp,IS中止进程无效,金山文件粉碎器删除文件无效(而这几个是我前不久在试不爽的)
不过魔高一尺,道高一丈,知道了原理和过程之后,离解决也不会太远,,下面介绍一下杀它的办法(亲自试验,不需要重启,力求简单,菜鸟也可以操作)
三、清除办法:
1、找出驱动来
首先运行autoruns(点击下载Autoruns.exe),在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)”和“Hide Signed Microsoft Entries(隐藏已签名的微软项)”,把这两项都选中了。扫描之后,我们只看驱动(driver)这一项:
可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。
2、用procexp找出驱动名来
运行procexp,(点击下载ProcessExplorer.exe),找到system这个进程,然后点右键——属性(Properties)——线程(Threads),然后把下面的框子拉到最后,看有连续两个,比较无规则的八个字母的驱动,再跟autoruns对一下就可以确定是哪个驱动了。(见第一张图)
3、删除文件
因为文件有驱动保护,这里虽然找到线程的名字,但是无论是Procexp还是IceSword都无法中止这个线程(如果你有好的办法,麻烦告诉我一下,谢谢)。另外本人写的文章里面的关于删除顽固文件的,对付这种有意防范的,也是无效的。经过亲自试验,目前有两个办法可以删除这个文件:
方法一:用Unlocker(点击下载Unlocker.exe)
找到c:\windows\system32\drivers目录下,找到刚才的那个驱动文件,点右键——Unlocker,然后在出来的对话框中,也会显示有一个sytem进程占用了,点那个“Unlock“。然后再在文件上Unlocker一下,这时显示已经没有其它进程在使用这个文件,用它的Delete功能,点确定便可。这样文件便删除了。
方法二:还是用Procexp
在Procexp中,先按Ctrl+H,切换到Handler视图,然后按Ctrl+F,查找,输入刚才的驱动名字(可以只输入前几个字母),然后就可以看到在system这个进程中有一个文件,在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件,删除便可。
我相信如果paoxue的作者看到这篇文章,可能会做一些升级或者改变,使上面的方法无效(因为它明显已经针对IceSword这几个出名的软件做了防范),但是万变不离其宗,如果那个时候,就先用autoruns/procexp找到相关的驱动文件,然后安装一个虚拟软驱,到DOS下去删除这个文件,那个是最后终极的办法。
我写这篇文章,主要针对一些新手,所以尽量不要重启以及做复杂的操作。
删除上面的.sys文件之后,为了安全起见,重启一下,然后再重新设一下IE的主页,应该就可以了。至于那个Seriver的值,删不删都无所谓了。
四、其它
针对飘雪的免疫办法:
在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值,然后任意输入一个值,这样飘雪就不会再安装了。
如果上面的方法无效,请与我联系,可能会有升级的版本。但是以上介绍的所有办法,在我的文章都已经提到了。流氓软件横行年代,自己都得学会一点保身之术。
转自:网络安全日志
一、为什么流氓软件总是删不掉?
经常有网友发贴子说文件删除不掉,或者流氓软件清除不了,或者删除了相关的文件,但是马上它又出现了。现在流氓软件为了保护自己,采取的手段是五花八门,无所不用其极:进程保护,交叉感染,自启动,自我恢复,文件隐藏,进程注入,驱动保护。只要我们判断哪些文件是流氓软件的,然后把它清除掉,这个流氓软件也就清除了。
到目前为止,所有流氓软件最终极、最有效的保护办法还是底层驱动级的保护,一般就是在drivers目录下增加一个或多个.sys文件(我也见过一个用rundll32来运行一个.dll作为驱动的),但本质上这个都会在Windows的HKLM\SYSTEM\CurrentControlSet\Services\下建一个相关的值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且将启动级别做得很高,在安全模式下也会自动启动。这个底层的驱动过滤所有的文件以及注册表操作,如果发现是对流氓软件自己的文件/注册表操作,就会直接返回一个true,如果发觉文件被删除,就会通过备份或者网络来下载恢复。它们的保护措施已经做到这一级,普通用户根本没有办法删除相关的文件,一般都需要重启到DOS系统下去删除文件。
这也是很多网友提的为什么文件删除不掉,或者删除了,重启之后,一会儿又出现了,阴魂不散的原因。下面我们的要做的,就是找出来这些流氓软件的后台的驱动保护。
二、为什么找出驱动保护很困难?
Windows的驱动文件一般位于system32\drivers目录下,以.sys文件方式存在,通过注册表的HKLM\SYSTEM\CurrentControlSet\Services\的方式来启动,有一部分属于服务的,可以在Windows的服务的MMC控制窗口里看到。但如果是驱动,则在这里看不到。Windows正式情况下,那个drivers目录下有200个左右的文件,如果偷偷往这个下面塞一个.sys文件,是很难发现的。象著名的3721这类cnsminkp.sys,CNNIC的cdnprot.sys比较容易认识,但现在的很多软件的名字都是不固定的,或者是随机生成的,这样的辨识的难度就很大。我曾经用过的方式有:
1、通过保存文件列表,时常自己手工比较这两个文件,看前后差别多出来的文件肯定有问题
2、通过文件生成的日期。(这点流氓软件也想到了,日期也只能作为参考)
3、通过文件的属性里在的公司信息。早年还行,现在越来越多的流氓软件的驱动冒充是M$的,有的连英文单词都写错了。唉。。。
4、通过文件夹监视工具。
上面这四种都有一定的缺陷,只能作为参考,都不是太好。并且现在有一些软件通过文件系统隐藏这些驱动文件,通过资源管理器,根本连看都看不到。
三、如何找出可疑驱动来?
难道没有更好的办法吗?有,应该有的,这个就是我们今天要介绍的主角:autoruns
名称: autoruns
网址:http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx
大小:326K v8.53
平台: Windows 95/98/2000/XP/2003
性质:免费软件
下载:点击下载Autoruns.exe
介绍:autoruns是著名的sysinternals出品的一款小软件,它的主要功能是列出系统自启动的项目。通过它,你可以轻易查看到所有系统可能启动的地方,非常的全面。跟流氓软件相关的是“Services(服务)",“LSA Providers(LSA提供者)”、"Winsock Providers(Winsock提供者)",“Drivers(驱动)“。下面重点介绍Drivers这一部分的功能。
运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)”和“Hide Signed Microsoft Entries(隐藏已签名的微软项)”,把这两项都选中了。验证代码签名是指验证所有dirvers下的.sys文件的文件签名。Windows下的硬件有一个签名的功能,它是为了保证所有的驱动文件是经过M$测试,符合HAL兼容性。隐藏已签名的微软项,就是把那些合法的隐藏起来。不然200多个,会看着发晕的。
这样autoruns就会检查所有已经注册成为驱动的项,并且检查所有的.sys的文件数字签名。所有假冒的或者没有通过代码签名的项,都会在这里列出来。也就可以很容易判断这个驱动是不是有问题了。如果有问题的话,可以通过通过一些软件把里面相关的注册表键值删除,重启机器,这样驱动保护就失效了,然后可以通过文件删除工具来删除其它的文件,完成最后的清理工作。
四、总结
最后再总结一下:
1、流氓软件删除不掉或者死灰复燃,很多时候是因为有驱动或服务保护
2、通过autoruns找到这些可疑的驱动
3、通过冰刀删除相关驱动健值或者直接用文件粉碎器删除相关的.sys文件,重启驱动就无效
4、清理其它文件,完成善后工作。
以上方法通过各种测试是证明有效的,但不排除将来有更进一步的隐藏手段来躲避autoruns的检查。但原理是一样的。不过是通过程序来减少工作量。
转自:网络安全日志
Trojan.Win32.StartPage.n
破坏方法:木马病毒,在系统目录下,文件名为realplayer.exe 。
修改注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wintask : 文件名
这样病毒能随开机而启动。
到网上下载病毒文件到本地执行。
连接并攻击韩国雅虎主机www.yahoo.co.kr 。
造成主页被修改是因为 realplayer.exe
此病毒好象会使 IceSword 和 killbox 无法打开..
瑞星杀毒软件可杀..但是重启后还会有…
关于realplayer.exe的查杀
最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
手工清除方法如下:
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件
然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll 否则删不掉
然后 用Autoruns.exe删除所有RealPlayer.exe的启动项即可!
点击下载Autoruns.exe
开始 运行 输入regedit
如果存在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
两个项目 则全部删除即可!
至此 该病毒就被干掉了
机器中了ntio.exe start.exe病毒,系统路径以C盘为例!
文件路径:
C:\windows\system32\ntio.exe
C:\windows\system32\start.exe
C:\windows\system32\ansi.dll
C:\windows\system\start.exe
病毒修改的注册表键值:
1 2 3 4 5 6 | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe ntio.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "start.exe"="c:\windows\system32\start.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "start.exe"="c:\windows\system\start.exe" |
正常模式解决办法:
打开文件夹选项,点击查看,把隐藏受保护的操作系统文件选项去掉,选择显示所有文件。
打开任务管理器,结束explorer 进程
然后运行SREng.exe,在启动项目里修改shell字段的Explorer.exe ntio.exe为Explorer.exe
删除两个start.exe的启动项!(见下面SREng.exe的截图)
并删除system目录下的start.exe和system32目录下的start.exe,ntio.exe,ansi.dll
重启计算机即可!
安全模式解决办法:
1.重启进入安全模式,
2.打开文件夹选项,点击查看,把隐藏受保护的操作系统文件选项去掉,选择显示所有文件。(一定要是在安全模式下更改,如果先改了,重启到安全模式后又会恢复的。)
3.删除system目录下的start.exe和system32目录下的start.exe,ntio.exe,ansi.dll
然后运行SREng.exe,在启动项目里修改shell字段的Explorer.exe ntio.exe为Explorer.exe
删除两个start.exe的启动项!(见下面SREng.exe的截图)
4.重启计算机就好了
推荐使用Autoruns.exe和SREng.exe这两款软件进行病毒清理!
点击下载Autoruns.exe
点击下载SREng.exe
