在硬盘中找到以下可疑程序：求哪位大侠们帮我看看是什么来的？

显示全部楼层 · 2006-7-18 09:11:25

关于木马exeroute的清除方法作者：佚名
文章来源：本站原创
点击数：165
更新时间：2006-7-8////病毒名称：Win32.Troj.ExERouter.b金山的资料：（很搞笑金山毒霸是不能完全解决这个木马的）http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38121&action=viewgraph////特征：在windows文件夹下会产生几个隐藏属性的有红色的龙图标的exe文件，任务管理器中可以看到两个名字为系统进程的进程，如winlogn和csrss，services。////标准完全清除过程：产生10~18个文件＋2个文件夹，N多处的注册表修改。//注册表修复部分：1.HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\Winlogon下的shell = Explorer.exe 1 修改为shell = Explorer.exe2.将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Torjan Program-C:\windows\services.exe删除或者是Torjan Program-C:\windows\winlogn.exe又或者是Torjan Program-c:\Windows\csrss.exe3. HKEY_Classes_root\.exe默认值 winfiles 改为exefile4.删除以下两个键值：HKEY_Classes_root\winfiles和HKEY_Local_machine\software\classes\winfiles5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%Common Files\iexplore.pif”的信息，把这内容改为“%ProgramFiles%Internet Explorer\iexplore.exe”（有时会查不到）//病毒文件部分：（要么在安全模式下删，要么用进程软件把这些程序停掉先再删除）%programfiles%common files\iexplore.pif%programfiles%Internat explorer\iexplore.com%windir%1.com%windir%exeroute.exe%windir%explorer.com%windir%finder.com%windir%mswinsck.ocx%windir%services.exe%windir%system32\command.pif%windir%system32\dxdiag.com%windir%system32\finder.com%windir%system32\msconfig.com%windir%system32\regedit.com%windir%system32\rundll32.com删除以下文件夹：%windir%debug%windir%system32NtmsData还有在各个分区下有AUTORUN.INF（很老的一种攻击形式了）有几个变种还会产生一些文本文件，利用它们来再生，我有一次见过有一个文件竟然是K89×××.log也就是伪装成为升级的日志文件，有几次是改成bmp图。//补充：这个病毒的清除很麻烦，但是只要把windows文件夹和system32文件夹下的加了隐藏加系统的属性的可执行文件（.exe，.com）删除了就可以了。因为系统本身的文件不会隐藏的，所以只要做了这个手脚的应该不是什么好东西。还有在修改注册表的时候如果把exe文件的关联改错了导致exe文件无法打开时，可以把注册表或者工具软件的后缀名改为.com就可以照常使用了。////从这个病毒想到：这是个盗号木马，而且变种很多。会使系统严重拖慢，虚拟内存大量占用，是用VB写的。它隐藏的方法很简单，就是改成系统文件的名字，但是放在另一个地方。如windows文件夹下，本来是在windows\system32文件夹下的，所以任务管理器中会出现两个一样的进程，因为是两个不同的程序实体。而它的启动方法是利用exe关联来实现启动，所以你删除了run键值的启动也没用，因为在用户登陆时登陆就加载了1.com这个再生程序了，而每打开exe文件就会加载winlogn这个程序，打开资源管理器，还有打开ie也会中招（有些变种不会），然后又会再生。这个木马每次的再生是通过文件的更名后拷贝来实现的，有一个变种我在上面说过是用一个伪装的日志文件来备份程序实体的，每次再生被触发，就把备份文件拷贝到目标文件后改名实现的。说真的这个木马是很难缠的一个，而且变种的出现速度和种类也很快很多。很久没有玩木马了，我相对于一般的游戏电脑用户来说觉得在隐蔽性上是很强的，。但是遇到有经验的用户来说有点太明显了，进程很明显暴露了，而且在系统文件夹里把可执行文件都加了隐藏和系统属性。隐蔽性还是不如插入进程的隐藏。参考资料：http://www.17aq.com/Article/I/200607/20060708113810.htm

已赞过已踩过<

千问 · 2006-7-18 09:11:25

c:\windows\1.comc:\windows\exeroute.exe c:\windows\finder.com 好像有问题