auto.exe变种原理和解决方法

圆周率派 · 发表于 2007-8-1 00:36:24

本帖最后由 wyadell 于 2015-7-11 05:27 编辑

真人游戏|足球篮球|时时╞彩| 六合投╞注| 网络赚钱:顶级信用╞提现百分百即时到账SO.CC
其实此病毒就是前些日子流行的木马下载器rising.exe的变种，改个名字而已，手法相同。 <

>　　File: auto.exe 　　Size: 20139 bytes 　　MD5: C8C1710C47B42258023F620D0C047F36 　　SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E 　　CRC32: 0F6AC47C<

>　　病毒运行后，病毒将检测系统是否装有卡巴斯基软件，如装有卡巴斯基软，则将系统日期修改为2005年1月18日！并在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务。同时释放一个随机8位数的dll文件。控制winlogon把那个随机8位数的dll 插入几乎所有进程！遍历所有分区，在根目录下生成auto.exe和autorun.inf两个文件！<

>　　作者在病毒里留下了自己的QQ号　　连接网络60.191.135.155:80 下载木马： 　　首先读取hxxp://count.xxxcom/cnzz//update.txt 的下载配置文件，然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹，并下载hxxp://count.xxx.com/cnzz/soft/cnzz.exe更新自身 　　具体木马下载的过程

略) 　　木马植入成功后 　　增加的文件如下 <TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD> C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys C:\WINDOWS\system32\107E7AF5.DLL（随机文件名） C:\WINDOWS\system32\AC254E44.EXE（随机文件名） C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\B96A05C.EXE（随机文件名） C:\WINDOWS\system32\bcawvt.dll C:\WINDOWS\system32\chzzyi.dll C:\WINDOWS\system32\dllhost32.exe C:\WINDOWS\system32\eykesr.dll C:\WINDOWS\system32\F7F735F8.DLL（随机文件名） C:\WINDOWS\system32\gafjib.dll C:\WINDOWS\system32\humnyb.dll C:\WINDOWS\system32\install.exe C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名） C:\WINDOWS\system32\k118335740863qso.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\Msf3sf.sys C:\WINDOWS\system32\nwizdh.exe C:\WINDOWS\system32\qqcnpk.dll C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\WINDOWS\system32\skblsj.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\unlmon.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\uzgeey.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\fqpatv.exe C:\WINDOWS\mppds.exe C:\WINDOWS\TIMHost.exe C:\WINDOWS\upxdnd.exe 其中C:\WINDOWS\system32\Shell.exe为感染下载者感染除系统分区外的所有exe 并且在每个分区根目录</TD></TR></TBODY></TABLE>　　下面生成pagefile.pif文件 　　sreng日志如下 <TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD> 启动项目 注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]        <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32 \shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">     [N/A]        <Shell.exe><C:\WINDOWS\system32\Shell.exe>     [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]        <upxdnd><C:\WINDOWS\upxdnd.exe>     []        <mppds><C:\WINDOWS\mppds.exe>     []        <TIMHost><C:\WINDOWS\TIMHost.exe>     []        <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []        <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>     []        <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>     [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]        <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>  []        <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>     []        <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>     []服务 [3FC3578B / 3FC3578B][Stopped/Auto Start]      <C:\WINDOWS\system32\AC254E44.EXE -k><Microsoft Corporation> [E539E00C / E539E00C][Stopped/Auto Start]      <C:\WINDOWS\system32\B96A05C.EXE -p><Microsoft Corporation> [Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]      <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation> 进程 [PID: 1456][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]        [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp]     [N/A, ]        [C:\WINDOWS\system32\k118335740863qso.dll]     [N/A, ]        [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]     [N/A, ]        [C:\WINDOWS\system32\upxdnd.dll]     [N/A, ]        [C:\WINDOWS\system32\AVPSrv.dll]     [N/A, ]        [C:\WINDOWS\system32\107E7AF5.DLL]     [Microsoft Corporation, ]        [C:\WINDOWS\system32\F7F735F8.DLL]     [Microsoft Corporation, ]        [C:\WINDOWS\system32\TIMHost.dll]     [N/A, ]        [C:\WINDOWS\system32\dh2104.dll]     [N/A, ]        [C:\WINDOWS\system32\Ravasktao.dll]     [N/A, ]        [C:\WINDOWS\system32\uihfev.dll]     [N/A, ]</TD></TR></TBODY></TABLE> 　　解决办法：　　如果时间被改,首先把日期改回来 　　打开sreng(下载地址：<A target=_blank href="http://www.motoyi.com/Down/Noted/200705/Down_28.shtml" target=_blank>http://www.motoyi.com/Down/Noted/200705/Down_28.shtml</A>) 　　启动项目     注册表删除如下项目（详细步骤：打开SREng－启动项目－注册表） <TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]        <Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32 \shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp">     [N/A]        <Shell.exe><C:\WINDOWS\system32\Shell.exe>     [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]        <upxdnd><C:\WINDOWS\upxdnd.exe>     []        <mppds><C:\WINDOWS\mppds.exe>     []        <TIMHost><C:\WINDOWS\TIMHost.exe>     []        <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []        <Microsoft Autorun1><C:\WINDOWS\system32\nwizdh.exe>     []        <Microsoft Autorun9><C:\WINDOWS\system32\Ravasktao.exe>     [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]        <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp>  []        <{13BB17A1-1B9D-1F83-235F-27552B3B2F17}><C:\WINDOWS\system32\k118335740863qso.dll>     []        <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>     []</TD></TR></TBODY></TABLE>　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： <TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD> 3FC3578B / 3FC3578B E539E00C / E539E00C Win32 Debug Service / MSDebugsvc</TD></TR></TBODY></TABLE> 　　重启计算机 　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作　　系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，点击菜单栏下方的文件夹按钮进入资源管理器。从资源管理器中进入C盘删除： <TABLE style="WIDTH: 500px" borderColor=#000000 cellSpacing=0 cellPadding=3 width=500 align=center bgColor=#ffff00 border=1 heihgt=""><TBODY><TR><TD> C:\autorun.inf C:\auto.exe C:\pagefile.pif C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys C:\WINDOWS\system32\107E7AF5.DLL（随机文件名） C:\WINDOWS\system32\AC254E44.EXE（随机文件名） C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\B96A05C.EXE（随机文件名） C:\WINDOWS\system32\bcawvt.dll C:\WINDOWS\system32\chzzyi.dll C:\WINDOWS\system32\dllhost32.exe C:\WINDOWS\system32\eykesr.dll C:\WINDOWS\system32\F7F735F8.DLL（随机文件名） C:\WINDOWS\system32\gafjib.dll C:\WINDOWS\system32\humnyb.dll C:\WINDOWS\system32\install.exe C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名） C:\WINDOWS\system32\k118335740863qso.dll C:\WINDOWS\system32\mppds.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\Msf3sf.sys C:\WINDOWS\system32\nwizdh.exe C:\WINDOWS\system32\qqcnpk.dll C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\WINDOWS\system32\skblsj.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\unlmon.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\uzgeey.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\fqpatv.exe C:\WINDOWS\mppds.exe C:\WINDOWS\TIMHost.exe C:\WINDOWS\upxdnd.exe</TD></TR></TBODY></TABLE>　　同理打开其他分区删除其他分区根目录下的 　　autorun.inf 　　auto.exe 　　pagefile.pif　　升级杀毒软件至最新版本全盘杀毒！清理被感染的exe。如怕存在其它恶意软件，下载360安全卫士清除　　下载地址：<A target=_blank href="http://dl.360safe.com/setup.exe" target=_blank>http://dl.360safe.com/setup.exe</A> <A target=_blank href="http://www.motoyi.com/AntiVirus/200707/AntiVirus_2707.shtml" target=_blank>http://www.motoyi.com/AntiVirus/200707/AntiVirus_2707.shtml</A>
真人游戏|足球篮球|时时╞彩| 六合投╞注| 网络赚钱:顶级信用╞提现百分百即时到账SO.CC

圆周率派 · 发表于 2007-8-1 00:36:36

本帖最后由 wyadell 于 2015-7-11 05:27 编辑

真人游戏|足球篮球|时时⒆彩| 六合投⒆注| 网络赚钱:顶级信用⒆提现百分百即时到账SO.CC
<DIV id=post_message_935641 style="OVERFLOW-X: hidden">如果你是中了新变种的AUTO.EXE这个病毒的话..那就很难办..那个专杀是杀不了他的.我自己也试过了那个病毒了..不过这个病毒再利害都有缺点.这个病毒的缺点就在安全模式.只要你进入安全模式.然后用安全模式来上网找到此病毒的来源.还有一些手动杀病毒技术.因为这个病毒会在你的注表册还有你的服务里面添加启动像..这个病毒单凭专杀还有一些杀毒软件是不可能清除的.唯一的办法就是杀毒软件还有手动杀毒这两个技巧一起配合用.才可以清除..但不可在正常模式操作.因为这病毒的毒性越过小熊猫这个病毒..因为他里面有一些源码跟熊猫烧香是一样的.AUTO.EXE其实也就是一个恶意下载器来的.他会帮你的机子自动下载熊猫烧香还有威金这两个大病毒回来.其后再帮你下载一些木马程序.恶意软件. 本人中过此病..此病确实很利害..可想知道真正的清除方法的话.请大家在网络去搜索这个AUTO.EXE 恶意下载器手动清除方法.这个教程..</DIV>
真人游戏|足球篮球|时时⒆彩| 六合投⒆注| 网络赚钱:顶级信用⒆提现百分百即时到账SO.CC

圆周率派 · 发表于 2007-8-1 00:37:06

本帖最后由 wyadell 于 2015-7-11 05:27 编辑

真人游戏|足球篮球|时时Δ彩| 六合投Δ注| 网络赚钱:顶级信用Δ提现百分百即时到账SO.CC
<DIV id=post_message_935646 style="OVERFLOW-X: hidden">在此我在提醒各位菜鸟们..如果大家中了这个病毒的话..请勿想着重装系统就可以没事了..因为这个病毒它可以在一分钟内.将你整个硬盘都感染了..之除你重新分区.不然重装系统仍是一种愚蠢的办法来的..还有一点就是如果网友中了此病的话..请不要去下载所谓瑞星还有金山专杀工具..那个是没有用的..因为我自己试过哪些工具..那两个专杀只会浪费时间..而AutoGuarder防御者.因为这个对AUTO.EXE新变种是没有用的.. 大家可到网络搜索一个工具.这个工具就是可以让你在安全模式里面上网.. 这个一般病毒在安全模式里面是运行不了的..这样才有杀掉他们的机会. 补充一下:我中了这个病毒后用了三天的时间才全部清除..也用了很多个工具.. 恶意下载器AUTO.EXE病毒的病状是: 其一:双击打不开硬盘.也分别在每个硬生成两上文件.第一个:autorun.inf.第二个:AUTO.EXE 其二:显示不了隐藏文件的功能. 其三:安全模式进不了. 其四:系统时间会被修改.使你的杀毒软件打不开. 其五:中了AUTO.EXE卡吧的病毒库马上会出现过期.更新后又是出现过期. 其六:打开网页后.只要你在网页里面填入关于"病毒"这两个字就会被关了..</DIV><DIV style="OVERFLOW-X: hidden"> </DIV><DIV style="OVERFLOW-X: hidden"> </DIV><DIV style="OVERFLOW-X: hidden"> </DIV><DIV style="OVERFLOW-X: hidden">（网摘文章）</DIV><DIV style="OVERFLOW-X: hidden"> </DIV><DIV style="OVERFLOW-X: hidden"><A target=_blank href="http://bbs.chinaeagle.org/showthread.php?t=132975&page=3">http://bbs.chinaeagle.org/showthread.php?t=132975&page=3</A></DIV>
真人游戏|足球篮球|时时Δ彩| 六合投Δ注| 网络赚钱:顶级信用Δ提现百分百即时到账SO.CC

圆周率派 · 发表于 2007-8-1 00:38:28

		自动登录	找回密码
密码			注册

auto.exe变种原理和解决方法

Re:我知道为何中毒了！

Re:我知道为何中毒了！

Re:我知道为何中毒了！

浏览过的版块