神马文学网2548、4555网址导航恶意插件清除方案
来源:百度文库 编辑:神马文学网 时间:2024/05/23 20:21:27
2010年6月9日,安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首
页为www.4555.net或www.2548.cn的顽固样本,当此样本运行后会弹出一个http://www.4555.net/?in的页面(如
图1),在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件(如图2、
3、4.),具体分析如下:
图1.
图2.
图3.
图4.
样本描述:
该流氓软件样本文件为一个包裹,可用7z直接打开或解包(如图5.),此包裹文件内多为BAT批处理文件和
VBS脚本文件,此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下:
将winare.vbs写入启动项(如图6.)
拷贝自身到C:\Program Files\WinWare目录下(如图7.)
写入多个计划任务(如图8.)
图5.
图6.
图7.
图8.
本地文件行为:(释放文件)
c:\Documents and Settings\Administrator\Recent\winare.vbs.lnk
c:\Documents and Settings\Administrator\Recent\启动.lnk
c:\Documents and Settings\Administrator\桌面\Internet Exploror.lnk
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\winare.vbs
c:\Documents and Settings\Administrator\Application Data\Microsoft\
Internet Explorer\Quick Launch\Internet Exploror.lnk
c:\Program Files\Windows\360SE.vbs
c:\Program Files\Windows\36OSE.vbs
c:\Program Files\WinWare\360.cmd
c:\Program Files\WinWare\360SE.vbs
c:\Program Files\WinWare\361.cmd
c:\Program Files\WinWare\36OSE.vbs
c:\Program Files\WinWare\36O安全刘览器? 3.lnk
c:\Program Files\WinWare\36O安全刘览器?3.lnk
c:\Program Files\WinWare\Internet Exploror.lnk
c:\Program Files\WinWare\tool.cmd
c:\Program Files\WinWare\winare.vbs
c:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX1\mi.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\0_37a.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\0_MiguMusic6.exe
Settings\Temp\0_YoudaoDict_zhusha_quantui_004.exe
c:\WINDOWS\Tasks\At10.job
c:\WINDOWS\Tasks\At11.job
c:\WINDOWS\Tasks\At12.job
c:\WINDOWS\Tasks\At13.job
c:\WINDOWS\Tasks\At14.job
c:\WINDOWS\Tasks\At15.job
c:\WINDOWS\Tasks\At16.job
c:\WINDOWS\Tasks\At17.job
c:\WINDOWS\Tasks\At18.job
c:\WINDOWS\Tasks\At19.job
c:\WINDOWS\Tasks\At2.job
c:\WINDOWS\Tasks\At20.job
c:\WINDOWS\Tasks\At21.job
c:\WINDOWS\Tasks\At22.job
c:\WINDOWS\Tasks\At23.job
c:\WINDOWS\Tasks\At24.job
c:\WINDOWS\Tasks\At25.job
c:\WINDOWS\Tasks\At26.job
c:\WINDOWS\Tasks\At27.job
c:\WINDOWS\Tasks\At28.job
c:\WINDOWS\Tasks\At29.job
c:\WINDOWS\Tasks\At3.job
c:\WINDOWS\Tasks\At30.job
c:\WINDOWS\Tasks\At31.job
c:\WINDOWS\Tasks\At32.job
c:\WINDOWS\Tasks\At33.job
c:\WINDOWS\Tasks\At34.job
c:\WINDOWS\Tasks\At35.job
c:\WINDOWS\Tasks\At36.job
c:\WINDOWS\Tasks\At37.job
c:\WINDOWS\Tasks\At38.job
c:\WINDOWS\Tasks\At39.job
c:\WINDOWS\Tasks\At4.job
c:\WINDOWS\Tasks\At40.job
c:\WINDOWS\Tasks\At41.job
c:\WINDOWS\Tasks\At42.job
c:\WINDOWS\Tasks\At43.job
c:\WINDOWS\Tasks\At44.job
c:\WINDOWS\Tasks\At45.job
c:\WINDOWS\Tasks\At46.job
c:\WINDOWS\Tasks\At47.job
c:\WINDOWS\Tasks\At48.job
c:\WINDOWS\Tasks\At49.job
c:\WINDOWS\Tasks\At5.job
c:\WINDOWS\Tasks\At50.job
c:\WINDOWS\Tasks\At51.job
c:\WINDOWS\Tasks\At52.job
c:\WINDOWS\Tasks\At6.job
c:\WINDOWS\Tasks\At7.job
c:\WINDOWS\Tasks\At8.job
c:\WINDOWS\Tasks\At9.job
本地注册表行为:
篡改键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\
BarricadedFolders\shell:ControlPanelFolder
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
新建键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithList\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithProgids\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithProgids\VBSFile
值: <值未设置>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\InfoTip
值: 字符串: "查找并显示 Internet 上的信息和网站"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\@
值: 字符串: "打开主页(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\Command\@
值: 字符串: "C:\progra~1\Intern~1\iexplore.exe http://www.4555.net/?in"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\MUIVerb
值: 字符串: "@shdoclc.dll,-10241"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\@
值: 字符串: "C:\progra~1\Intern~1\iexplore.exe http://www.4555.net/?in"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\HideFolderVerbs
值: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\HideOnDesktopPerUser
值: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\WantsParsDisplayName
值: 字符串: ""
手工清除方案:
1.将本地衍生文件删掉
2.快速启动栏内的IE快捷方式恢复方法:
将IE浏览器的目录下的主程序发送到桌面快捷方式,然后将快捷方式移动到C:\Documents and Settings\
Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch目录下即可。
正常IE主程序根目录为:C:\Program Files\Internet Explorer\IEXPLORE.EXE
3.注册表清理与修复
需要删除的键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
FileExts\.vbs\OpenWithProgids\VBSFile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
需要修复的键值:
将如下键值中的新的改回原来的旧的键值即可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\
BarricadedFolders\shell:ControlPanelFolder
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
安天反病毒工程师建议
清除方案:
手工清除方法:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。(手工查杀推荐使用)。
安天自主研发的ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)
自动清除方法:
1. 用“IE浏览器修复工具”先改回来你原来的浏览器主页,
官方下载地址:www.ruijia.cn/download/iexiufu.rar
2、使用安天防线可彻底清除此病毒(推荐)的衍生文件。拦截如图:
官方下载地址:http://www.antiyfx.com/download.html
3. 用锐甲的一键锁定功能来锁定浏览器首页,防止首页被再次修改。。
官方下载地址:http://dl00.antiy.com/download/ARaymorInstall.exe
页为www.4555.net或www.2548.cn的顽固样本,当此样本运行后会弹出一个http://www.4555.net/?in的页面(如
图1),在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件(如图2、
3、4.),具体分析如下:
图1.
图2.
图3.
图4.
样本描述:
该流氓软件样本文件为一个包裹,可用7z直接打开或解包(如图5.),此包裹文件内多为BAT批处理文件和
VBS脚本文件,此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下:
将winare.vbs写入启动项(如图6.)
拷贝自身到C:\Program Files\WinWare目录下(如图7.)
写入多个计划任务(如图8.)
图5.
图6.
图7.
图8.
本地文件行为:(释放文件)
c:\Documents and Settings\Administrator\Recent\winare.vbs.lnk
c:\Documents and Settings\Administrator\Recent\启动.lnk
c:\Documents and Settings\Administrator\桌面\Internet Exploror.lnk
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\winare.vbs
c:\Documents and Settings\Administrator\Application Data\Microsoft\
Internet Explorer\Quick Launch\Internet Exploror.lnk
c:\Program Files\Windows\360SE.vbs
c:\Program Files\Windows\36OSE.vbs
c:\Program Files\WinWare\360.cmd
c:\Program Files\WinWare\360SE.vbs
c:\Program Files\WinWare\361.cmd
c:\Program Files\WinWare\36OSE.vbs
c:\Program Files\WinWare\36O安全刘览器? 3.lnk
c:\Program Files\WinWare\36O安全刘览器?3.lnk
c:\Program Files\WinWare\Internet Exploror.lnk
c:\Program Files\WinWare\tool.cmd
c:\Program Files\WinWare\winare.vbs
c:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX1\mi.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\0_37a.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\0_MiguMusic6.exe
Settings\Temp\0_YoudaoDict_zhusha_quantui_004.exe
c:\WINDOWS\Tasks\At10.job
c:\WINDOWS\Tasks\At11.job
c:\WINDOWS\Tasks\At12.job
c:\WINDOWS\Tasks\At13.job
c:\WINDOWS\Tasks\At14.job
c:\WINDOWS\Tasks\At15.job
c:\WINDOWS\Tasks\At16.job
c:\WINDOWS\Tasks\At17.job
c:\WINDOWS\Tasks\At18.job
c:\WINDOWS\Tasks\At19.job
c:\WINDOWS\Tasks\At2.job
c:\WINDOWS\Tasks\At20.job
c:\WINDOWS\Tasks\At21.job
c:\WINDOWS\Tasks\At22.job
c:\WINDOWS\Tasks\At23.job
c:\WINDOWS\Tasks\At24.job
c:\WINDOWS\Tasks\At25.job
c:\WINDOWS\Tasks\At26.job
c:\WINDOWS\Tasks\At27.job
c:\WINDOWS\Tasks\At28.job
c:\WINDOWS\Tasks\At29.job
c:\WINDOWS\Tasks\At3.job
c:\WINDOWS\Tasks\At30.job
c:\WINDOWS\Tasks\At31.job
c:\WINDOWS\Tasks\At32.job
c:\WINDOWS\Tasks\At33.job
c:\WINDOWS\Tasks\At34.job
c:\WINDOWS\Tasks\At35.job
c:\WINDOWS\Tasks\At36.job
c:\WINDOWS\Tasks\At37.job
c:\WINDOWS\Tasks\At38.job
c:\WINDOWS\Tasks\At39.job
c:\WINDOWS\Tasks\At4.job
c:\WINDOWS\Tasks\At40.job
c:\WINDOWS\Tasks\At41.job
c:\WINDOWS\Tasks\At42.job
c:\WINDOWS\Tasks\At43.job
c:\WINDOWS\Tasks\At44.job
c:\WINDOWS\Tasks\At45.job
c:\WINDOWS\Tasks\At46.job
c:\WINDOWS\Tasks\At47.job
c:\WINDOWS\Tasks\At48.job
c:\WINDOWS\Tasks\At49.job
c:\WINDOWS\Tasks\At5.job
c:\WINDOWS\Tasks\At50.job
c:\WINDOWS\Tasks\At51.job
c:\WINDOWS\Tasks\At52.job
c:\WINDOWS\Tasks\At6.job
c:\WINDOWS\Tasks\At7.job
c:\WINDOWS\Tasks\At8.job
c:\WINDOWS\Tasks\At9.job
本地注册表行为:
篡改键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\
BarricadedFolders\shell:ControlPanelFolder
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
新建键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithList\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithProgids\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\
OpenWithProgids\VBSFile
值: <值未设置>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\InfoTip
值: 字符串: "查找并显示 Internet 上的信息和网站"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\@
值: 字符串: "打开主页(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\Command\@
值: 字符串: "C:\progra~1\Intern~1\iexplore.exe http://www.4555.net/?in"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开主页(&H)\MUIVerb
值: 字符串: "@shdoclc.dll,-10241"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\@
值: 字符串: "C:\progra~1\Intern~1\iexplore.exe http://www.4555.net/?in"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\HideFolderVerbs
值: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\HideOnDesktopPerUser
值: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\WantsParsDisplayName
值: 字符串: ""
手工清除方案:
1.将本地衍生文件删掉
2.快速启动栏内的IE快捷方式恢复方法:
将IE浏览器的目录下的主程序发送到桌面快捷方式,然后将快捷方式移动到C:\Documents and Settings\
Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch目录下即可。
正常IE主程序根目录为:C:\Program Files\Internet Explorer\IEXPLORE.EXE
3.注册表清理与修复
需要删除的键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
FileExts\.vbs\OpenWithProgids\VBSFile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
需要修复的键值:
将如下键值中的新的改回原来的旧的键值即可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\
NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\
BarricadedFolders\shell:ControlPanelFolder
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
安天反病毒工程师建议
清除方案:
手工清除方法:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。(手工查杀推荐使用)。
安天自主研发的ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)
自动清除方法:
1. 用“IE浏览器修复工具”先改回来你原来的浏览器主页,
官方下载地址:www.ruijia.cn/download/iexiufu.rar
2、使用安天防线可彻底清除此病毒(推荐)的衍生文件。拦截如图:
官方下载地址:http://www.antiyfx.com/download.html
3. 用锐甲的一键锁定功能来锁定浏览器首页,防止首页被再次修改。。
官方下载地址:http://dl00.antiy.com/download/ARaymorInstall.exe