worm.pabug.db 病毒清除方法 - 午时栏社区高先网络

[ gaoyunfon] worm.pabug.db 病毒清除方法。

============================================================================

杀毒软件无法启动,打不开反病毒工具,打不开带有病毒字样的IE窗口!

病毒特征：
1.破坏安全模式 2.结束常见杀毒软件以及反病毒工具进程 3.监控窗口 4.关闭自动更新以及Windows安全

中心 5.屏蔽显示隐藏文件 6.下载木马 7.IFEO映像劫持

分析File:

1201AEC1.exe Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195

加壳方式：UPX 病毒运行后在

C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合

的文件名的dll和一个同名的dat文件

C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 这个随机的数字应该与机器码有

关该dll插入Explorer进程 Timplatform以及ctfmon进程

监视并关闭以下进程以及窗口:超级兔子,木馬病毒杀毒,殺毒查毒,防毒反病毒专杀專殺,卡巴斯基,江民,瑞星

卡卡社区,金山毒霸毒霸金山社区,360安全恶意软件,流氓软件举报,报警杀软.

殺軟防駭在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件在

C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件删除C:\WINDOWS\system32\verclsid.exe 将其重命名为verclsid.exe.bak

注册表相关操作删除

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

破坏安全模式,修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

CheckedValue值为0x00000000 HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002 HKU\

S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001

屏蔽显示隐藏文件,修改常见杀毒软件服务的start键值为

0x00000004 如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004 修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004

关闭自动更新,添加IFEO映像劫持项,被劫持到

C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件,

下载dl1.exe到临时文件夹启动IE连接219.152.120.37:80

首先下载http://google.xxxx38.org/update/down.txt

看病毒是否需要更新然后分别下载

http://google.xxxx38.org/update/wow.exe http://google.xxxx38.org/update/mh.exe http://google.xxxx38.org/update/wm.exe http://google.xxxx38.org/update/my.exe http://google.xxxx38.org/update/wl.exe http://google.xxxx38.org/update/zt.exe http://google.xxxx38.org/update/jh.exe http://google.xxxx38.org/update/tl.exe http://google.xxxx38.org/update/1.exe

http://google.xxxx38.org/update/2.exe

到program files 文件夹并把他们命名为ycnt1.exe~ycnt10.exe

ycnt9.exe这个木马他生成C:\WINDOWS\system32\win1ogo.exe

并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗插入代码,也就是局域网内所有用户在

打开网页时都会被插入这段代码,所有木马文件植入完毕后 ,生成物如下:

C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.

dll

C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.

dll

C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.

exe

C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll

C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\

Common Files\cssrs.exe sreng

解决办法如下：
1.确定那个8位随机数的dll的名称,这里我们选用winrar确定那个dll的名称方法是：
打开winrar.exe 工具查看文件在上面的地址栏中, 进入

c:\program files\common files\microsoft shared\msinfo目录,被感染的电脑的文件名为41115bdd.dll

2.使用强制删除工具删除那个dll文件,选用Xdelbox1.2这个软件具体使用方法见（里面有下载地址）
重起机器后,

3.恢复被映像劫持的软件,这里我们使用autoruns这个软件:

Auto病毒专杀已经改名为USBKiller(U盘病毒专杀工具)http://www.91kb.cn/read-htm-tid-3410.html

由于这个软件也被映像劫持了,所以随便把他改个名字,打开这个软件后,找到Image hijack (映像劫持）

删除除:
Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft

Corporation c:\windows\system32\ntsd.exe 以外的所有项目

4.此时可以打开sreng了,打开sreng 系统修复,高级修复,点击修复安全模式,在弹出的对话框中点击是

5.恢复显示隐藏文件,把下面的代码拷入记事本中,然后另存为1.reg文件,

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL ] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="

Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入好了,此时病毒对于我们的所有限制已经解除了,下面就是清除其下载的木马.

重起机器,进入安全模式,打开sreng 启动项目,注册表

删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<C:\WINDOWS\Kvsc3.exe> []

双击Userinit 把其键值改为:
C:\WINDOWS\system32\userinit.exe

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目:

点“删除服务”，再点“设置”，在弹出的框中点“否”
[CelInDrv / CelInDrv][Stopped/Disabled] <\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys>

双击我的电脑，工具，文件夹选项，查看，

单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定

更改时，单击“是” 然后确定然后删除

C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe C:\Documents and

Settings\Administrator\Local Settings\Temp\testexe.dll C:\Documents and

Settings\Administrator\Local Settings\Temp\dl1.exe C:\Program Files\Common Files\Microsoft

Shared\MSInfo\41115BDD.dat（随机8位数字字母组合）

C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合）
C:\WINDOWS\system32\DirectX\DirectX.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu.

exe

C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32

\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe

C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.

dll

C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合）

C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe C:\

Program files\ycnt1.exe~ycnt10.exe

(如果有的话）删除各个分区下面的autorun.inf和 41115BDD.exe（随机8位数字字母组合）

一定不要双击

欢迎光临午时栏社区	高先网络	http://www.ushi5.com	反回首页
软件学习使用栏目	病毒分析查杀栏目	中小学幼儿栏目	英语会话栏目

[ gaoyunfon] worm.pabug.db 病毒清除方法。 ============================================================================ 杀毒软件无法启动,打不开反病毒工具,打不开带有病毒字样的IE窗口! 病毒特征： 1.破坏安全模式 2.结束常见杀毒软件以及反病毒工具进程 3.监控窗口 4.关闭自动更新以及Windows安全中心 5.屏蔽显示隐藏文件 6.下载木马 7.IFEO映像劫持分析File: 1201AEC1.exe Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195 加壳方式：UPX 病毒运行后在 C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll和一个同名的dat文件 C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 这个随机的数字应该与机器码有关该dll插入Explorer进程 Timplatform以及ctfmon进程监视并关闭以下进程以及窗口:超级兔子,木馬病毒杀毒,殺毒查毒,防毒反病毒专杀專殺,卡巴斯基,江民,瑞星卡卡社区,金山毒霸毒霸金山社区,360安全恶意软件,流氓软件举报,报警杀软. 殺軟防駭在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件在 C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件删除C:\WINDOWS\system32\verclsid.exe 将其重命名为verclsid.exe.bak 注册表相关操作删除 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 破坏安全模式,修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ CheckedValue值为0x00000000 HKU\S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002 HKU\ S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001 屏蔽显示隐藏文件,修改常见杀毒软件服务的start键值为 0x00000004 如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004 修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004 关闭自动更新,添加IFEO映像劫持项,被劫持到 C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件, 下载dl1.exe到临时文件夹启动IE连接219.152.120.37:80 首先下载http://google.xxxx38.org/update/down.txt 看病毒是否需要更新然后分别下载 http://google.xxxx38.org/update/wow.exe http://google.xxxx38.org/update/mh.exe http://google.xxxx38.org/update/wm.exe http://google.xxxx38.org/update/my.exe http://google.xxxx38.org/update/wl.exe http://google.xxxx38.org/update/zt.exe http://google.xxxx38.org/update/jh.exe http://google.xxxx38.org/update/tl.exe http://google.xxxx38.org/update/1.exe http://google.xxxx38.org/update/2.exe 到program files 文件夹并把他们命名为ycnt1.exe~ycnt10.exe ycnt9.exe这个木马他生成C:\WINDOWS\system32\win1ogo.exe 并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗插入代码,也就是局域网内所有用户在打开网页时都会被插入这段代码,所有木马文件植入完毕后 ,生成物如下: C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug. dll C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg. dll C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo. exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\ Common Files\cssrs.exe sreng 解决办法如下： 1.确定那个8位随机数的dll的名称,这里我们选用winrar确定那个dll的名称方法是：打开winrar.exe 工具查看文件在上面的地址栏中, 进入 c:\program files\common files\microsoft shared\msinfo目录,被感染的电脑的文件名为41115bdd.dll 2.使用强制删除工具删除那个dll文件,选用Xdelbox1.2这个软件具体使用方法见（里面有下载地址）重起机器后, 3.恢复被映像劫持的软件,这里我们使用autoruns这个软件: Auto病毒专杀已经改名为USBKiller(U盘病毒专杀工具)http://www.91kb.cn/read-htm-tid-3410.html 由于这个软件也被映像劫持了,所以随便把他改个名字,打开这个软件后,找到Image hijack (映像劫持）删除除: Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目 4.此时可以打开sreng了,打开sreng 系统修复,高级修复,点击修复安全模式,在弹出的对话框中点击是 5.恢复显示隐藏文件,把下面的代码拷入记事本中,然后另存为1.reg文件, Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden \SHOWALL ] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"=" Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 双击1.reg把这个注册表项导入好了,此时病毒对于我们的所有限制已经解除了,下面就是清除其下载的木马. 重起机器,进入安全模式,打开sreng 启动项目,注册表删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的 <C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> [] <C:\WINDOWS\Kvsc3.exe> [] 双击Userinit 把其键值改为: C:\WINDOWS\system32\userinit.exe 在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目: 点“删除服务”，再点“设置”，在弹出的框中点“否” [CelInDrv / CelInDrv][Stopped/Disabled] <\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys> 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定然后删除 C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat（随机8位数字字母组合） C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合） C:\WINDOWS\system32\DirectX\DirectX.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu. exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32 \testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap. dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合） C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe C:\ Program files\ycnt1.exe~ycnt10.exe (如果有的话）删除各个分区下面的autorun.inf和 41115BDD.exe（随机8位数字字母组合）一定不要双击


2007-10-16 16:29:21 \|