瑞星卡卡安全论坛

近一段时间，网页木马群猖獗。
中招，一般是访问某些挂马的网页时，成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时，系统内已经木马成堆了。这类木马群的内容各式各样，但有一点相同之处：其中的病毒模块（常见的是dll文件）狂插系统及应用程序进程，导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。

今天见到有人反映类似情形。按照他给的网址，在未打ANI漏洞补丁的系统上，用IE6.0访问了那个网页。结果如愿以偿，终于第一次亲眼见识了一下ANI漏洞的“风采”。

以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程，供中招的朋友们实战参考。

0、用SRENG 2.3 扫系统日志，保存日志，掌握中毒后的基本情况并为手工杀毒提供必要信息。

1、运行IceSword，禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程：
[PID: 1876][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe]  [N/A, N/A] 
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe]  [N/A, N/A]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
注：由于IceSword是中毒后运行的，因此应查看其进程中是否有病毒模块插入。如果有，须卸除之。
3、删除病毒文件（图1）。
注：C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并删除（图2）。ie777.exe似乎是这群木马的“灵魂”，其进程为“隐藏”，但用IceSword和SSM均可见此进程。

4、根据SRENG日志所见，清理注册表（删除下列注册表项）：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
    svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的：
    333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
    winform
    mppds
    upxdnf
    msccrt

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：           
WindowsDown

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：
NPF

注意：C:\windows\system32\servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备，请右键打开这些设备，删除其根目录下的autorun.inf和servet.exe。

图1

附件: 155847200746111810.jpg

图2

附件: 155847200746111839.jpg

昨天花了我1个多小时,手动杀了...U盘丢了,我的工具软件啊..............

帅~终于见猫叔出解决木马群的方法了~学习了
顺便赶紧解决~
但是怎么没见有crs.exe呢,为什么我中的木马群里就有这个?

引用:

【想睡觉的星的贴子】帅~终于见猫叔出解决木马群的方法了~学习了 顺便赶紧解决~ 但是怎么没见有crs.exe呢,为什么我中的木马群里就有这个? ………………

已经说了：这类木马群的内容各式各样。
带crs.exe的木马群————只是其中一种情形。

猫叔，结束Explorer.EXE进程之后，怎样还原桌面以便操作，谢谢

这个病毒有什么表现呀？今天早上开了QQ游戏以后，就有网页不断地打开，关都关不掉。是不是这个？

引用:

【之乎者也的贴子】猫叔，结束Explorer.EXE进程之后，怎样还原桌面以便操作，谢谢 ………………

如果用IceSword禁止了“进程创建”，需先取消IceSword的“禁止进程创建”。
然后，按Ctrl_Alt_Del组合键，调出WINDOWS的任务管理器，点击其窗口栏上的“文件”、“新建任务”，在小窗口中键入explorer.exe，按回车。
如果中了禁用任务管理器的病毒，没搞掂病毒之前，这招不灵。

斑竹强啊!佩服,学习中
这类群木马有很多.

NPF.SYS
WANPACKET.DLL
PACKET.DLL
不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体，但是这几个文件也是许多软件必须的，删除就无法运行

呵呵！！！！！！1


知道了，

我晕！！！！！

又学了。

简单的说一说，害我想半天。

还是我学的不行。

我再学！！！！！！！！！！！！！！

猫叔这几天发帖很频！

引用:

【carabe的贴子】 NPF.SYS WANPACKET.DLL PACKET.DLL 不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体，但是这几个文件也是许多软件必须的，删除就无法运行 ………………

我说这三个文件是那堆网马中的，是有根据的。
1、访问那个网址前，开着Tiny的Activity Monitor。访问该网页后，Activity Monitor的记录中明确显示————图1、图2所示的那些文件（当然也包括这三个）是IE临时文件夹中的d[1].exe、1.exe、2.exe..........7.exe运行后释放的。
这三个文件属于什么，不言自明。
2、你说的WANPACKET.DLL和PACKET.DLL在“当前用户临时文件夹”中。从未听说过这个文件夹中的文件是系统必须的文件。“当前用户临时文件夹”本来就应该定时清空。
至于drivers文件夹中的NPF.SYS，我玩儿过的多个木马中都涉及这个驱动程序的释放。如果你认为它是系统文件，那你就养着吧。我是不会保留这类东东的。
3、删除那三个文件后，我的系统无任何异常。

大叔一直写文章让他们用些工具处理些问题,冒昧地说,其实我本人倒不赞成这种做法.这个木马群虽然多,但不至于用手工清除不了,我之所以不赞成用工具,主要是想让那些中这样木马群的人们了解下中招的解决过程,我一般是让他们手工解决,这样会培养他们自己解决问题的能力,并且知道什么是正常的什么是不正常的,省得每次中招自己不知所措,总要求别人解决,说实话,不劳而获的大有人在.象大叔提供的日志我见过不少,一般手工都能解决,所希望的是他们能自己解决,自己重视,否则同样的问题要问无数遍.
关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统.
以下是在看别人日志后的手工解决办法,请勘正.



断网,安全模式下进行操作.

打开注册表编辑器.
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除svc
定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,删除333
定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除:
winform
mppds
upxdnd
msccrt
重启系统,显示隐藏文件,删除:
C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe
C:\Syswm1i\svchost.exe
C:\windows\winform.exe
C:\windows\mppds.exe
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.exe
C:\windows\msccrt.exe
C:\Syswm1i\Ghook.dll
C:\windows\system32\winform.dll
C:\windows\system32\mppds.dll
C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.dll
C:\windows\system32\msccrt.dll

日志情况请见http://bbs.9ipc.net/dispbbs.asp?boardID=8&ID=15775

引用:

【scriptman的贴子】大叔一直写文章让他们用些工具处理些问题,冒昧地说,其实我本人倒不赞成这种做法.这个木马群虽然多,但不至于用手工清除不了,我之所以不赞成用工具,主要是想让那些中这样木马群的人们了解下中招的解决过程,我一般是让他们手工解决,这样会培养他们自己解决问题的能力,并且知道什么是正常的什么是不正常的,省得每次中招自己不知所措,总要求别人解决,说实话,不劳而获的大有人在.象大叔提供的日志我见过不少,一般手工都能解决,所希望的是他们能自己解决,自己重视,否则同样的问题要问无数遍. 关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统. 以下是在看别人日志后的手工解决办法,请勘正. 断网,安全模式下进行操作. 打开注册表编辑器. 定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除svc 定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,删除333 定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除: winform mppds upxdnd msccrt 重启系统,显示隐藏文件,删除: C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe C:\Syswm1i\svchost.exe C:\windows\winform.exe C:\windows\mppds.exe C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.exe C:\windows\msccrt.exe C:\Syswm1i\Ghook.dll C:\windows\system32\winform.dll C:\windows\system32\mppds.dll C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.dll C:\windows\system32\msccrt.dll 日志情况请见http://bbs.9ipc.net/dispbbs.asp?boardID=8&ID=15775 ………………

条条大路通罗马。
解决问题，可以不拘一格。目的————杀净病毒。

另：C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe——————这个文件是隐藏的（用WINRAR也看不到）。不知完成清理注册表、重启系统后能否看到。
我是在系统中毒状态下，在WINDOWS环境中，用IceSword一口气搞掂的。
用过IceSword的人都知道：用IceSword删除文件，不可能得到图1。因为iceSword直接删除文件（被删文件不进入回收站）。
图1是再次中此木马群后，想办法手工删除文件得到的。目的是：
1、告诉中招者，解决问题的办法也许不止一种。
2、让他们看清楚该删除哪些文件、这些文件在什么地方。

那是,目的是解决问题,但有大部分人连注册表都不会进,使用工具能学会解决方法也是不错了.
关于IE777,感觉去掉启动项,即使看不到也不会有什么影响,除非这个程序的作者会让它自己发作.
大叔能否将那个恶意网址给我?如果在这里不方便可以给个悄悄话,谢谢大叔.

引用:

【scriptman的贴子】那是,目的是解决问题,但有大部分人连注册表都不会进,使用工具能学会解决方法也是不错了. 关于IE777,感觉去掉启动项,即使看不到也不会有什么影响,除非这个程序的作者会让它自己发作. 大叔能否将那个恶意网址给我?如果在这里不方便可以给个悄悄话,谢谢大叔. ………………

网址没记下来。
那个网址是在这个论坛里，看到一个网友求助帖子见到的（今天的帖子）。当时的兴奋灶在：怎样将木马群引入系统（我那个Tiny的N个规则需要临时修改，否则，木马群不能完整进入系统）
那帖子，我也没收藏。现在不知沉到那里去了。
有时间，自己找找吧。

虽然木中，，但学到了很多东西，，谢谢。

引用:

【baohe的贴子】 网址没记下来。 那个网址是在这个论坛里，看到一个网友求助帖子见到的（今天的帖子）。当时的兴奋灶在：怎样将木马群引入系统（我那个Tiny的N个规则需要临时修改，否则，木马群不能完整进入系统） 那帖子，我也没收藏。现在不知沉到那里去了。 有时间，自己找找吧。 ………………

哦,谢谢大叔,我自己找找看.

有个问题 不知道提在这里是否合适 我看过那个关于Trojan-PSW.Win32.OnLineGames.mu的帖子 我好象也感染了(用金山在线查毒之后才知道的)

不过我的机器里好象还有ADX广告变种 任何安全软件都没法用了 装都装不上 当我艰难地关闭一个网页之后 瑞星也自动关闭了....

不知道楼主有没什么好办法 谢谢了...

嘿嘿,学习了,DB用户建议去黑防下载漏洞补丁吧,微软下载需要正版验证.....或者用360,漏洞扫描等工具修复吧..看来危害蛮重的!~

[c:\Syswm1i\Ghook.dll] [N/A, N/A]这个最近十分流行
还有你说的这个木马群。

好象很复杂啊,有没有更简单的啊,希望瑞星出来一个专杀出来就好了

太深奥了　，我这个初级阶段还不太懂～

我就是中了这个木马群，baohe大叔你看到我的短信了吧。

其他都被DrWeb和avast干掉了，只剩下servet和down[1].exe，

那个网站是：www.997.cn。

study.

具体经过：

昨天，在网上搜索look'n'stop，进去一个网站：

www.997.cn/SoftView/SoftView_5816.html

DrWeb马上报警，选择move操作。

有点好奇，看到上面有主站链接，于是点击。

网址是: www.997.cn

接着。。。。。。

DrWeb和avast疯狂报警。

DrWeb干掉7个，2个为启发式。

avast终止两个连线。

断网。

当时以为就这样没事了。

说知。。。。。。

出于安全考虑，打开Hijackthis扫描，DrWeb马上报警。



扫描后发现有一个可疑服务项：

SystemDown

文件路径：C:\Windows\system32\servet.exe

明显是木马程序。

DrWeb和avast两道防线被攻破了。

进去system32文件夹，没找到文件。

在“查看”里设置显示系统文件和受保护的文件和显示所有文件和文件夹。

还是看不到。

最后只好用SReng删除这个服务项。

删除后再打开Hijackthis扫描，这次DrWeb没有报警。

再用SReng扫描一遍，没发现什么异常。

然后拨号上网，打开VB浏览器的时候，

DrWeb和avast一起报警：

"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file.



用DrWeb删除，发现无法删除。

用avast隔离，提示正在被使用，无法访问。

选择删除。

avast没有反应。

对了，忘了说一点，之前用瑞星防火墙发现：

进程中有cmd.exe，并且命令行好像是：(具体记不清了)

system32下的delete什么的.bat后缀名文件。

删除那个服务后就没这种情况了。

重新启动，为得是让avast删除那个文件。

启动后，再次拨号上网打开VB浏览器(注目一点，我在用星空极速，默认打开VB浏览器，虽然我总是用IE)

avast再次报警。

仍然无法访问。

下载瑞星文件粉碎工具，把路径填进去却提示没有找到文件。

只好把SSM装上，再次打开VB浏览器，

这时SSM提示资源管理器运行VB浏览器，(记不清了，很有可能搞错了)

但是可以确定的是：

命令行为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe

用SSM禁止。

现在好了，装上SSM了。

【回复“天空的微笑”的帖子】
你可以参考这个帖子，灭掉那堆木马。没问题。

唉！！！！！！！！

累哦！！！

总不成，大家都搞SSM  ？？？？？？？？？？？？？？

这要是病毒再突破SSM

以后日子怎么过？？？？？？？？？？？