关于电脑病毒,来个高手解决下
- 提问者网友:姑娘长的好罪过
- 2021-07-25 14:16
- 五星知识达人网友:从此江山别
- 2021-07-25 14:35
下载最新的360顽固木马专杀大全4.2
http://down.360safe.com/360compkill.zip
解压后,把superkiller.exe 改个名,如aa.exe, 然后进行联网状态下自定义全盘扫描,完成后重启电脑.
使用专杀大全期间请不要做其他操作,专杀大全提示重启请点立即重启,以免木马重复感染。
- 1楼网友:上分大魔王
- 2021-07-25 17:13
- 2楼网友:你哪知我潦倒为你
- 2021-07-25 16:30
- 3楼网友:上分大魔王
- 2021-07-25 15:37
一般杀毒软件对木马不起作用的,用这个个试试,专门杀木马的,查杀速度快,查杀能力强
贝壳木马专杀工具专门为网游防盗号量身打造的,完全免费的木马专杀工具;轻小体积,纯绿色的免安装模式,适合用户快速下载使用。 http://www.beike.cn/
- 4楼网友:有你哪都是故乡
- 2021-07-25 15:26
- 5楼网友:骨子里都是戏
- 2021-07-25 14:57
首先我们来分析一下qqrdtd.exe是什么病毒进程: 我们用行为监测工具监测如下数据(其中比较重要的几项): ---------------------------------- 文件增加:4 ---------------------------------- C:\Program Files\Common Files\System\admin.obj C:\Program Files\Common Files\System\QQRdtd.exe C:\Program Files\SogouInput\4.2.3.2810\ws2help.dll C:\Program Files\WinRAR\ws2help.dll ---------------------------------- 文件修改:7 ---------------------------------- C:\Program Files\WinRAR\WinRAR.exe ---------------------------------- SRENG的进程报告 [PID: 192 / Administrator][C:\Program Files\Common Files\System\QQRdtd.exe] [N/A, ] [C:\Program Files\Common Files\System\admin.obj] [N/A, ] 看下admin.obj的导入函数: kernel32.dll这部份大多是关于进程的 GetCurrentThreadId ord:0 rva: 00006064 ExitProcess ord:0 rva: 00006068 UnhandledExceptionFilter ord:0 rva: 0000606C RtlUnwind ord:0 rva: 00006070 RaiseException ord:0 rva: 00006074 TlsSetValue ord:0 rva: 00006078 TlsGetValue ord:0 rva: 0000607C TlsFree ord:0 rva: 00006080 TlsAlloc ord:0 rva: 00006084 LocalFree ord:0 rva: 00006088 LocalAlloc ord:0 rva: 0000608C FreeLibrary ord:0 rva: 00006090 HeapFree ord:0 rva: 00006094 HeapReAlloc ord:0 rva: 00006098 HeapAlloc ord:0 rva: 0000609C GetProcessHeap ord:0 rva: 000060A0 oleaut32.dll SysFreeString ord:0 rva: 000060A8 SysReAllocStringLen ord:0 rva: 000060AC advapi32.dll这部份是操作注册表的 RegQueryValueExA ord:0 rva: 000060B4 RegQueryValueA ord:0 rva: 000060B8 RegOpenKeyA ord:0 rva: 000060BC RegEnumKeyA ord:0 rva: 000060C0 RegCreateKeyExA ord:0 rva: 000060C4 kernel32.dll这部份大多是操作文件读写操作的 WriteFile ord:0 rva: 000060CC UnmapViewOfFile ord:0 rva: 000060D0 SizeofResource ord:0 rva: 000060D4 SetFileAttributesA ord:0 rva: 000060D8 OpenFileMappingA ord:0 rva: 000060DC MoveFileA ord:0 rva: 000060E0 MapViewOfFile ord:0 rva: 000060E4 LockResource ord:0 rva: 000060E8 LoadResource ord:0 rva: 000060EC LoadLibraryA ord:0 rva: 000060F0 GetSystemDirectoryA ord:0 rva: 000060F4 GetProcAddress ord:0 rva: 000060F8 GetModuleFileNameA ord:0 rva: 000060FC FindResourceA ord:0 rva: 00006100 CreateThread ord:0 rva: 00006104 CreateProcessA ord:0 rva: 00006108 CreateFileMappingA ord:0 rva: 0000610C CreateFileA ord:0 rva: 00006110 CopyFileA ord:0 rva: 00006114 CloseHandle ord:0 rva: 00006118 看下admin.obj的导出函数 Modul name:help.dll More TimeDateStamp: 00000000 Version: 0.00 Ordinal base: 00000001 Number of functions: 00000018 Number of Names: 00000018 ALL rva: 00002CB8 ord: 1 WahWaitForNotification rva: 00003234 ord: 2 WahRemoveHandleContext rva: 0000322C ord: 3 WahReferenceContextByHandle rva: 00003224 ord: 4 WahQueueUserApc rva: 0000321C ord: 5 WahOpenNotificationHandleHelper rva: 00003214 ord: 6 WahOpenHandleHelper rva: 0000320C ord: 7 WahOpenCurrentThread rva: 00003204 ord: 8 WahOpenApcHelper rva: 000031FC ord: 9 WahNotifyAllProcesses rva: 000031F4 ord: 10 WahInsertHandleContext rva: 000031EC ord: 11 WahEnumerateHandleContexts rva: 000031E4 ord: 12 WahEnableNonIFSHandleSupport rva: 000031DC ord: 13 WahDisableNonIFSHandleSupport rva: 000031D4 ord: 14 WahDestroyHandleContextTable rva: 000031CC ord: 15 WahCreateSocketHandle rva: 000031C4 ord: 16 WahCreateNotificationHandle rva: 000031BC ord: 17 WahCreateHandleContextTable rva: 000031B4 ord: 18 WahCompleteRequest rva: 000031AC ord: 19 WahCloseThread rva: 000031A4 ord: 20 WahCloseSocketHandle rva: 0000319C ord: 21 WahCloseNotificationHandleHelper rva: 00003194 ord: 22 WahCloseHandleHelper rva: 0000318C ord: 23 WahCloseApcHelper rva: 00003184 ord: 24 至于功能我就不多说了。看字符串 文本字符串参考位于 admin:CODE 地址 反汇编 文本字符串 00902ABB push admin.00902BB0 ASCII "MYFILE" 00902B44 mov eax,admin.00902BC0 ASCII "Indes.BBC" 00902B52 push admin.00902BCC ASCII "add.BBC" 00902B57 push admin.00902BD4 ASCII "Indes.BBC" 00902B6A mov eax,admin.00902BE8 ASCII "add.BBC" 00902B7B mov eax,admin.00902BC0 ASCII "Indes.BBC" 00902CE6 push admin.00902F20 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" 00902D48 mov edx,admin.00903060 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\" 00902D5F mov ecx,admin.00903098 ASCII "UninstallString" 00902E6D mov edx,admin.009030D4 ASCII ".exe" 009032AC push ebp (初始 CPU 选择) 009032DB mov edx,admin.00903498 ASCII "ws2help.dll" 009032FD push admin.009034A4 ASCII "WahCloseApcHelper" 0090330D push admin.009034B8 ASCII "WahCloseHandleHelper" 0090331D push admin.009034D0 ASCII "WahCloseNotificationHandleHelper" 0090332D push admin.009034F4 ASCII "WahCloseSocketHandle" 0090333D push admin.0090350C ASCII "WahCloseThread" 0090334D push admin.0090351C ASCII "WahCompleteRequest" 0090335D push admin.00903530 ASCII "WahCreateHandleContextTable" 0090336D push admin.0090354C ASCII "WahCreateNotificationHandle" 0090337D push admin.00903568 ASCII "WahCreateSocketHandle" 0090338D push admin.00903580 ASCII "WahDestroyHandleContextTable" 0090339D push admin.009035A0 ASCII "WahDisableNonIFSHandleSupport" 009033AD push admin.009035C0 ASCII "WahEnableNonIFSHandleSupport" 009033BD push admin.009035E0 ASCII "WahEnumerateHandleContexts" 009033CD push admin.009035FC ASCII "WahInsertHandleContext" 009033DD push admin.00903614 ASCII "WahNotifyAllProcesses" 009033ED push admin.0090362C ASCII "WahOpenApcHelper" 009033FD push admin.00903640 ASCII "WahOpenCurrentThread" 0090340D push admin.00903658 ASCII "WahOpenHandleHelper" 0090341D push admin.0090366C ASCII "WahOpenNotificationHandleHelper" 0090342D push admin.0090368C ASCII "WahQueueUserApc" 0090343D push admin.0090369C ASCII "WahReferenceContextByHandle" 0090344D push admin.009036B8 ASCII "WahRemoveHandleContext" 0090345D push admin.009036D0 ASCII "WahWaitForNotification" 为什么要进行函数的变形,我想作者可能是用过主动的吧。好像黑防有过类似的介绍的,记不得了,不要拍砖啊! 要反汇编的可以从字符串入手看每个导入函数是怎么调用的,使用IDA看下。可以详细的分析。 这样基本就清楚了,此病毒具有如下特征: 1.感染winrar压缩文件,此工具基本每天均在使用,作者感染此文件眼光独到。只要你使用咱就可以运行,省去注册表启动,服务添加等等,可以推测的是以后的版本不一定感染winrar也可以感染系统装机必备,每个人经常用到的工具,将是作者要感染的对象。 2.在一些常用软件中添加ws2help.dll文件,本来应该是system32目录下的文件,基于软件所在文件夹中dll首先加载原则,程序首先加载的是病毒体。 采用校验工具得出如下数据: 文件: C:\Program Files\Common Files\System\admin.obj 大小: 51200 字节 修改时间: 2009年8月11日, 18:45:37 MD5: 39D526F06C563FB76221717D4E8F89BD SHA1: EFEFEB54988A1D0B8C9F34BFAA1146BD444B6278 CRC32: AF95EFCF 文件: C:\Program Files\WinRAR\ws2help.dll 大小: 51200 字节 修改时间: 2009年8月11日, 18:45:37 MD5: 39D526F06C563FB76221717D4E8F89BD SHA1: EFEFEB54988A1D0B8C9F34BFAA1146BD444B6278 CRC32: AF95EFCF 文件: C:\Program Files\SogouInput\4.2.3.2810\ws2help.dll 大小: 51200 字节 修改时间: 2009年8月11日, 18:45:37 MD5: 39D526F06C563FB76221717D4E8F89BD SHA1: EFEFEB54988A1D0B8C9F34BFAA1146BD444B6278 CRC32: AF95EFCF 不难看出添加到某些程序目录中的ws2help.dll文件,是同一文件。 3.感染的winrar文件时在尾部添加一个节,将病毒QQRdtd.exe代码写到尾部。先于winrar代码运行之前运行。程序为什么不选搜狗呢?因为搜狗不是每个机器上面都安装的。 上面对qqrdtd.exe进程分析之后,我们来看看qqtdtd.exe怎么杀掉它,清理步骤及思路: 1.首先结束病毒进程QQRdtd.exe,删除QQRdtd.exe和admin.obj文件。 2.用系统搜索文件搜索:ws2help.dll。找到删除之,留下system32目录及子目录dllcache下的ws2help.dll文件 3.删除受感染winrar文件。