瑞星卡卡安全论坛

调用RUNDLL32创建进程


源头在taskkill.exe
comres.dll





释放喽啰，最后留下一个守护的（没截图)





[attachimg]515282[/attachimg][attachimg]515282[/attachimg]





[attachimg]515287[/attachimg][attachimg]515287[/attachimg]

smallyou93发表
为了方便看，弄到了楼顶
先加载%SystemRoot%\aboy.dll

释放驱动并安装
%SystemRoot%\system32\drivers\pcidump.sys

调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件



Windows XP Professional-2009-05-04-18-56-13.png (67.95 K)
2009-5-4 19:05:35



SRENG反而没被感染，倒是俺的ED等删除工具被感染（打包见VIRUS.ZIP）


总之清除难度很大
COMRES.dll被替换
aboy.dll含有RPC攻击！局域网没打补丁的话就爆发了
QQ目录下有东西生成
非系统盘有QQfish木马

2.jpg (89.34 K)

2009-5-17 21:40:50

手动清除建议下载正常版本的COMRES.dll
删除aboy.dll
删除AUTORUN.inf
删除HOSTS的文件内容
DOS下删除病毒文件




用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; InfoPath.1; .NET CLR 2.0.50727)

aboy.dll文件应该不是替换吧？？？

而是病毒直接创建吧

得删除系统Windows文件夹内的这文件

还有是否存在感染其他盘文件的行为呢？？

调用cmd执行以下命令
cacls %SystemRoot%\System32 /e /p everyone:f
cacls "%Temp%\" /e /p everyone:f
sc config ekrn start= disabled
sc config avp start= disabled
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im ScanFrm.exe /f
taskkill /im avp.exe /f

释放文件
%SystemRoot%\aboy.dll
%SystemRoot%\System32\killkb.dll
X:\1.exe
X:\autorun.inf

加载%SystemRoot%\System32\killkb.dll
rundll32.exe C:\WINDOWS\system32\killkb.dll, droqp
篡改文件
%SystemRoot%\System32\drivers\acpiec.sys
并加载，实现恢复SSDT

加载%SystemRoot%\aboy.dll，感染非分区文件

调用ipconfig.exe执行命令
ipconfig.exe /ALL



难道是这个，不懂，飘过..

联网下载病毒
http://ainikv.cn/33.txt

1:http://yygeiwofc.cn/77/77.exe
1:http://yygeiwofc.cn/77/0.exe
1:http://yygeiwofc.cn/77/1.exe
1:http://yygeiwofc.cn/77/2.exe
1:http://yygeiwofc.cn/77/3.exe
1:http://yygeiwofc.cn/77/4.exe
1:http://yygeiwofc.cn/77/5.exe
1:http://yygeiwofc.cn/77/6.exe
1:http://yygeiwofc.cn/77/7.exe
1:http://yygeiwofc.cn/77/9.exe
1:http://yygeiwofc.cn/77/8.exe
1:http://yygeiwofc.cn/77/10.exe
1:http://yygeiwofc.cn/77/16.exe
1:http://yygeiwofc.cn/77/17.exe
1:http://yygeiwofc.cn/77/18.exe
1:http://yygeiwofc.cn/77/19.exe
1:http://yygeiwofc.cn/77/21.exe
1:http://yygeiwofc.cn/77/24.exe
1:http://yygeiwofc.cn/77/26.exe
1:http://yygeiwofc.cn/77/30.exe
1:http://yygeiwofc.cn/77/31.exe
1:http://yygeiwofc.cn/77/35.exe
1:http://yygeiwofc.cn/77/88.exe
1:http://yygeiwofc.cn/77/qq.exe

加载%SystemRoot%\aboy.dll，感染非分区文件??????

确实感染了？？？

只感染.exe文件？？？？？

你观察仔细了？？？？

:default7: 貌似是的，我的非分区文件只有.exe，tiny的监控的确监控到加载aboy.dll后就感染非分区文件

难怪好象处理的几个求助的，都没能清理完全

反复中毒

干脆以后不论什么木马群，都要其他分区的.exe文件来看得了

你将你那被感染的其他盘的单文件可运行的.exe文件发两个来看看

例如SRENG工具什么的

看看现在的瑞星能否检测清除感染

先加载%SystemRoot%\aboy.dll

释放驱动并安装
%SystemRoot%\system32\drivers\pcidump.sys

调用ipconfig.exe执行命令"ipconfig.exe /ALL"后才开始感染系统非分区文件




SRENG反而没被感染:kaka6:，倒是俺的ED等删除工具被感染（打包见VIRUS.ZIP）



附件: aboy.zip

附件: VIRUS.zip

多谢添加:default6:
下载的样本你也弄来了
全盗号木马（Trojan.OnlineGameTheif)
我测试时发现总共创建了35个进程。。。。
真的写入

我用PRESS EXPLORER忘了看加载的DLL了:default3:

还不错

瑞星竟然已可清除感染

15楼的样本，瑞星最新版本病毒库：21.28.04已经可以查杀。

杀法
昨天直接实机运行了:default3:
没事
今天再来一遍:default6:
一、在1.exe那点右键-结束进程树



二、根据SRENG日志导入文件

（这是注意的地方！！！删除后重启会变成这样）





QQ目录的文件全删除！！！！我只发现一个文件


下一步：
替换explorer
删除aboy.dll
替换comres.dll
这样就KO了
:default6: :default6:

附件: 导入文件.txt

附件: 杀前.log

附件: 杀后.log

附件: 样本.rar

那个aboy.dll有利用MS08-067传播病毒的行为  绑定的4444端口

:kaka6: tiny也监控到了此行为

我也中了
我启动ＱＱ是说ＱＱ文件丢了．．病毒给删了！

草，晕死的病毒！！所有瑞星监控被强行关闭，无法手动开启！！核心数据修改严重！！:kaka7:

烦。网吧系统，中了这个

我看到了这篇帖子，有了很多的困惑。



%SystemRoot%\aboy.dll这样能运行？%SystemRoot%\system32\aboy.dll这样呢？:kaka5:


对于我，首先，CA 这个工具没安装成功呵。网上常见的E盾又时好时坏。有时基本没作用。这里肯求传播安全工具的大侠们照顾我们:kaka5:

%SystemRoot%\system32\aboy.dll直接由进程加载
具体有个日志

用最新的RTD去，也可以用的不错的

好烦的病毒！！所有瑞星监控和防火墙被强行关闭，无法手动开启！！瑞星被杀掉了，有没有简单一点的解决方案啊！

源头在taskkill.exe
comres.dll
可能还有2个驱动在

IE被恶意改启动即连接www.ff2000.com，查看注册表没找到与IE相关的键值被改，且IE工具的internet选项界面也显示初始加载为about:blank，瑞星全盘查杀却不报告异常，但启动windows系统即将显示“欢迎使用”画面之前会显示一带几个乱码的窗口，且要点击“确认”才能进入系统，很明显是系统被强行植入了恶意软体，目前所有网上IE修改工具均对其不能彻底清除，瑞星的开机查杀虽可比该恶意软件先启动一步，但也不查杀不出来

没有找到COMRes.dll,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。是什么问题. 大大们急救啊

用相同系统的comres.dll替换被病毒替换的comrel.dll 文件

不过估计你的系统还染上了其他的木马群

建议扫描SRE日志上传  便于解决