近一段时间，网页木马群猖獗。
中招，一般是访问某些挂马的网页时，成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时，系统内已经木马成堆了。这类木马群的内容各式各样，但有一点相同之处：其中的病毒模块（常见的是dll文件）狂插系统及应用程序进程，导致杀毒困难。
未打微软的ANI漏洞补丁是中这类网页木马的主要原因。

今天见到有人反映类似情形。按照他给的网址，在未打ANI漏洞补丁的系统上，用IE6.0访问了那个网页。结果如愿以偿，终于第一次亲眼见识了一下ANI漏洞的“风采”。

以下列出中招后用SRENG和IceSword灭掉这群木马的实战流程，供中招的朋友们实战参考。

0、用SRENG 2.3 扫系统日志，保存日志，掌握中毒后的基本情况并为手工杀毒提供必要信息。

1、运行IceSword，禁止进程创建。

2、结束下列被病毒插入的进程以及所有非系统核心进程：
[PID: 1876][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1464][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 440][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1832][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2572][C:\Program Files\Rising\Rav\RAVMON.EXE]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 3304][C:\WINDOWS\system32\shadow\ShadowTip.exe]  [PowerShadow, 1, 0, 0, 1]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2772][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 2524][C:\WINDOWS\system32\notepad.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]   
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1696][C:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1800][C:\windows\wsttrs.exe]  [N/A, N/A] 
    [C:\windows\system32\wsttrs.dll]  [N/A, N/A]
[PID: 1000][c:\Syswm1i\svchost.exe]  [N/A, N/A]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A
[PID: 3020][C:\Program Files\Tiny Firewall Pro\UmxTray.exe]  [Computer Associates International, Inc., 6.5.1.59]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
[PID: 1348][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
    [c:\Syswm1i\Ghook.dll]  [N/A, N/A]
注：由于IceSword是中毒后运行的，因此应查看其进程中是否有病毒模块插入。如果有，须卸除之。
3、删除病毒文件（图1）。
注：C:\Documents and Settings\baohelin\Local Settings\Temp\ie777.exe只有用IceSword才能找到并删除（图2）。ie777.exe似乎是这群木马的“灵魂”，其进程为“隐藏”，但用IceSword和SSM均可见此进程。

4、根据SRENG日志所见，清理注册表（删除下列注册表项）：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
    svc
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]分支下的：
    333
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]分支下的：
    winform
    mppds
    upxdnf
    msccrt

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：           
WindowsDown

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services分支下的：
NPF

注意：C:\windows\system32\servet.exe感染U盘、移动硬盘等移动存贮介质。如果系统中毒时USB口上有这类设备，请右键打开这些设备，删除其根目录下的autorun.inf和servet.exe。

图1

图2

引用:

【想睡觉的星的贴子】帅~终于见猫叔出解决木马群的方法了~学习了 顺便赶紧解决~ 但是怎么没见有crs.exe呢,为什么我中的木马群里就有这个? ………………

已经说了：这类木马群的内容各式各样。
带crs.exe的木马群————只是其中一种情形。

引用:

【之乎者也的贴子】猫叔，结束Explorer.EXE进程之后，怎样还原桌面以便操作，谢谢 ………………

如果用IceSword禁止了“进程创建”，需先取消IceSword的“禁止进程创建”。
然后，按Ctrl_Alt_Del组合键，调出WINDOWS的任务管理器，点击其窗口栏上的“文件”、“新建任务”，在小窗口中键入explorer.exe，按回车。
如果中了禁用任务管理器的病毒，没搞掂病毒之前，这招不灵。

引用:

【carabe的贴子】 NPF.SYS WANPACKET.DLL PACKET.DLL 不是病毒体吧,虽有人把NPF.SYS作为arp的病毒体，但是这几个文件也是许多软件必须的，删除就无法运行 ………………

我说这三个文件是那堆网马中的，是有根据的。
1、访问那个网址前，开着Tiny的Activity Monitor。访问该网页后，Activity Monitor的记录中明确显示————图1、图2所示的那些文件（当然也包括这三个）是IE临时文件夹中的d[1].exe、1.exe、2.exe..........7.exe运行后释放的。
这三个文件属于什么，不言自明。
2、你说的WANPACKET.DLL和PACKET.DLL在“当前用户临时文件夹”中。从未听说过这个文件夹中的文件是系统必须的文件。“当前用户临时文件夹”本来就应该定时清空。
至于drivers文件夹中的NPF.SYS，我玩儿过的多个木马中都涉及这个驱动程序的释放。如果你认为它是系统文件，那你就养着吧。我是不会保留这类东东的。
3、删除那三个文件后，我的系统无任何异常。

引用:

【scriptman的贴子】大叔一直写文章让他们用些工具处理些问题,冒昧地说,其实我本人倒不赞成这种做法.这个木马群虽然多,但不至于用手工清除不了,我之所以不赞成用工具,主要是想让那些中这样木马群的人们了解下中招的解决过程,我一般是让他们手工解决,这样会培养他们自己解决问题的能力,并且知道什么是正常的什么是不正常的,省得每次中招自己不知所措,总要求别人解决,说实话,不劳而获的大有人在.象大叔提供的日志我见过不少,一般手工都能解决,所希望的是他们能自己解决,自己重视,否则同样的问题要问无数遍. 关于NPF这个,我以前也是告诉他们删除掉,但好象现在有些学校的上网软件都需要这个,其实就象FORMAT命令一样,有人用它装系统有人用它破坏系统. 以下是在看别人日志后的手工解决办法,请勘正. 断网,安全模式下进行操作. 打开注册表编辑器. 定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除svc 定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,删除333 定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除: winform mppds upxdnd msccrt 重启系统,显示隐藏文件,删除: C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe C:\Syswm1i\svchost.exe C:\windows\winform.exe C:\windows\mppds.exe C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.exe C:\windows\msccrt.exe C:\Syswm1i\Ghook.dll C:\windows\system32\winform.dll C:\windows\system32\mppds.dll C:\DOCUME~1\tongfang\LOCALS~1\Temp\upxdnd.dll C:\windows\system32\msccrt.dll 日志情况请见http://bbs.9ipc.net/dispbbs.asp?boardID=8&ID=15775 ………………

条条大路通罗马。
解决问题，可以不拘一格。目的————杀净病毒。

另：C:\DOCUME~1\tongfang\LOCALS~1\Temp\ie777.exe——————这个文件是隐藏的（用WINRAR也看不到）。不知完成清理注册表、重启系统后能否看到。
我是在系统中毒状态下，在WINDOWS环境中，用IceSword一口气搞掂的。
用过IceSword的人都知道：用IceSword删除文件，不可能得到图1。因为iceSword直接删除文件（被删文件不进入回收站）。
图1是再次中此木马群后，想办法手工删除文件得到的。目的是：
1、告诉中招者，解决问题的办法也许不止一种。
2、让他们看清楚该删除哪些文件、这些文件在什么地方。

引用:

【scriptman的贴子】那是,目的是解决问题,但有大部分人连注册表都不会进,使用工具能学会解决方法也是不错了. 关于IE777,感觉去掉启动项,即使看不到也不会有什么影响,除非这个程序的作者会让它自己发作. 大叔能否将那个恶意网址给我?如果在这里不方便可以给个悄悄话,谢谢大叔. ………………

网址没记下来。
那个网址是在这个论坛里，看到一个网友求助帖子见到的（今天的帖子）。当时的兴奋灶在：怎样将木马群引入系统（我那个Tiny的N个规则需要临时修改，否则，木马群不能完整进入系统）
那帖子，我也没收藏。现在不知沉到那里去了。
有时间，自己找找吧。

【回复“天空的微笑”的帖子】
你可以参考这个帖子，灭掉那堆木马。没问题。

引用:

【天月来了的贴子】唉！！！！！！！！ 累哦！！！ 总不成，大家都搞SSM  ？？？？？？？？？？？？？？ 这要是病毒再突破SSM 以后日子怎么过？？？？？？？？？？？ ………………

突破SSM的木马————不是没有。
手头的工具，不妨多预备些。不能总指望一两个常用工具。
这里的潜水者中，不乏“图谋不轨”者。因此，写帖子时也要注意————别过多地亮自己的底牌。
底牌亮多了，相应的手段就渐渐失效了。

引用:

【subomaoming的贴子】请问版主哪里有Tiny的Activity Monitor下阿？ 免费版吗？我也想玩玩……麻烦告知，好吗？ 先谢谢哦！！ ………………

Tiny是个英文版防火墙；Activity Monitor是其中一个组件，不是单独的工具。
Tiny设置灵活而复杂。入门————需要一段时间。
这个防火墙已经“死”掉（被CA收购了）。自去年初，就再没更新服务了（Tiny的最后一版是6.5.126）。
下载地址？自己用百度搜。