查看: 8068|回复: 37
Y.exe病毒~~怎么都杀不干净，该怎么办啊？
本帖最后由 keyi143 于
09:51 编辑
发错区了，已在病毒救援区发帖了，请斑竹删除此贴
最新：终于找到源头了。。U盘上的病毒感染了我的电脑，结果病毒被之后的杀毒软件给杀了。但是浏览器还是会去访问一个挂马网页，也排除了镜像劫持的原因。分析找了很久之后，突然想到有可能是局域网中的ARP攻击造成。立马安装了360卫士，打开防ARP后，没到一分钟就提示说受到ARP攻击。。。分析来源发现结果是另一个同事的电脑也中毒了。。。这下知道了原因，世界终于清静咯。。。哈哈！谢谢各位啊！
-----------------------------------------------
<font color="#.利用boot光盘中的diskgen软件清除了保留扇区、重建了MBR、重新ghost恢复C盘，病毒照样运行
<font color="#.重做上面的步骤后直接安全模式用金山急救箱、鬼影专杀查杀病毒，病毒照样运行
<font color="#.按1中的步骤执行后，开启MD，安装金山网盾并查杀，将被替换的系统dll文件修复后，确认病毒暂无运行。然后重启(MD，金山网盾处于开启状态)，打开IE测试--一运行IE，金山网盾就有提示(下图)，MD无病毒运行阻止报告。暂时成功解除危机。
1.jpg (132.45 KB, 下载次数: 3)
16:45 上传
到现在为止，大概可以肯定是因为上图中提到的，导致IE被劫持，从而运行IE时会自动从网上下载Y.exe到下面的目录中运行：
&&c:\documents and settings\administrator\application data\
&&c:\documents and settings\localservice\application data\（目前只发现会在这2个文件夹中创建Y.exe程序）
问题：虽然到现在为止病毒无法运行了，但是上图中提示的问题，在注册表的‘Image File Execution Options’里并没看到有相关的被劫持项，不知道IE的哪里被修改了，请问这该怎么解决呢？
另外，对上面的结果测试了下，通过ping那个挂马网站，在MD的网络规则中直接阻止访问那个IP后，关闭金山网盾，只留MD,开IE这些完全没问题，AD和FD的日志也没有提示说会创建Y.exe病毒程序了，下面这条记录是在打开IE时提示的(默认首页是，打开百度没问题):&& 18:26:29& & 访问网络& & 阻止
&&进程: c:\program files\internet explorer\iexplore.exe
&&目标: TCP [本机 : 1962] -&&&[183.100.240.12 : 80 (http)]
&&规则: [网络组]Z_挂马网站 -& [网络]TCP/UDP [本机 : 任意端口] &-& [183.100.240.12 : 任意端口]
基本上可以确定Y.exe程序的来源了，但是就是没搞懂系统哪里被病毒母体修改了，导致打开浏览器就会去访问这个挂马网站(在注册表的‘Image File Execution Options’里并没看到有相关的被劫持项)
昨天用XP_SP3原版重装了系统，结果开IE病毒同样发作
<font color="#0急救箱修复后重启电脑，开IE病毒发作
今天上班时，同事拿了U盘过来拷文件。插上后不久，系统速度突然变慢，打开Malware Defender的进程一看，多了很多诸如12457.exe的程序，果然中毒了，郁闷啊(当时刚好关了MD,在弄规则，忘记开了)。多番测试后虽然找了病毒，但是却无法根除，请各位大大帮我看下，该怎么办啊？
解决过程：
1.安全模式杀毒
& &使用软件：卡巴，g data2010，大蜘蛛
& &过程：只找到病毒释放出来的程度及动态链接库等，没找到病毒母体所在
& &结果：失败！杀毒后重启，病毒照样运行
2.虚拟系统还原
& &使用软件:shadow defender
& &过程:这个软件是在中毒前一直运行着
& &结果：失败！被穿透(仅这一次被穿，后来就没有了)
&&使用软件：ghost
&&过程：还原后进入系统都一切正常，打开某个程序后又发作
&&结果：失败
4.HIPS测试病毒(第一次，没捕捉到母体)
&&使用软件：Malware Defender
&&过程：略(后述)
&&结果：根据日志写了针对性的规则，能防住病毒了
5.HIPS测试病毒(第二次)
&&使用软件：Malware Defender
&&过程：1.杀毒、还原系统后，没开其他任何软件，病毒没运行(其实根本不知道病毒是怎么发作的)，打开MD
& && && && &2.根据之前的怀疑，运行IEXPLORE.EXE后，MD日志如下：
& && && && && & 17:20:08& & 访问COM接口& & 阻止
& && && && && &进程: c:\program files\internet explorer\iexplore.exe
& && && && && &目标: {9BA0-11CF-A442-00A0C90A8F39} Window List in Shell Process
& && && && && &文件路径: %SystemRoot%\system32\shdocvw.dll
& && && && && &规则: [应用程序]* -& [COM接口]{9BA0-11CF-A442-00A0C90A8F39}
& && && && && & 17:20:10& & 创建文件& & 阻止
& && && && && &进程: c:\program files\internet explorer\iexplore.exe
& && && && && &目标: C:\Documents and Settings\Administrator\Application Data\Y.exe
& && && && && &规则: [文件组]Z_危险文件夹 -& [文件]c:\documents and settings\administrator\ ?.exe
&&结果：应该找到了病毒母体Y.exe程序，但却无法清除！
1.运行IE后，IEXPLORE.EXE进程会在：
& &C:\Documents and Settings\Administrator\Application Data\目录下创建Y.exe程序并运行
2.Y.exe程序释放23435.exe这样的数字开头的程序(名字每次都是随机的)和dll文件到%temp%目录下并运行。释放路径：
& &C:\Documents and Settings\Administrator\Local Settings\Temp\
& &C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\
3.在下面的路径中创建相关文件：
& &C:\WINDOWS\systemdebug.exe
& &C:\WINDOWS\system32\drivers\svchost.exe
& &&&C:\Program Files\dnf\cghkgqhuk.dll
& &&&C:\Program Files\dnf\fezpqkcgc.dll
& &&&C:\Program Files\Microsoft.YeJianFeng\2203609.bat
& &&&C:\Program Files\Microsoft.YeJianFeng\2203609.exe
& &&&C:\Program Files\Microsoft.YeJianFeng\2221671.exe
& &&&C:\Program Files\Microsoft.YeJianFeng\2549656.exe
& &C:\WINDOWS\system\dsound.dll
& &C:\WINDOWS\system\dsound.dll.FBYR
& &C:\WINDOWS\system\dsound.dll.IAHO
& &C:\WINDOWS\system32\mygina.dll
& &C:\WINDOWS\system32\cghkgqhuk.dll
& &C:\WINDOWS\system32\dsound.dll.dat
& &C:\WINDOWS\system32\fezpqkcgc.dll
& &C:\WINDOWS\system32\iseilptuj.dll
& &C:\WINDOWS\system32\lqcyc52.cyc
& &C:\WINDOWS\system32\usp10.dll
& &C:\WINDOWS\system32\dllcache\usp10.dll
& &C:\WINDOWS\system32\drivers\scvhost.exe
& &C:\WINDOWS\system32\drivers\svchost.exe
大概的行为就是这些了，部分病毒文件是中毒后杀毒软件扫出来的。因为是公司电脑，不敢真机测试，病毒行为统计不完整，见谅啊！！
知道了是由IE引起的后，将同事电脑中的IE目录下的所有文件拷过来，覆盖，结果照样创建Y.exe程序。弄了很久，都不知道该怎么办！！！呆会试试重装IE看行不。。。
请各位大大看看，要怎么样才能彻底根除这个病毒哦？
(22.76 KB, 下载次数: 684)
18:39 上传
点击文件名下载附件
重装系统前保证后面的盘没问题。
莫非你也遇到了鬼影病毒，我昨天才杀了一个。
本帖最后由 左手 于
08:13 编辑
机子除了MD没有装杀软吗？我的天。。
08:11:50& & 创建文件& & 阻止
进程: c:\documents and settings\administrator\桌面\test\y.exe
目标: C:\WINDOWS\system32\lqcyc52.cyc
规则: [文件组]文件保护 -& [文件]c:\windows\system32\*
08:11:50& & 删除注册表项& & 阻止
进程: c:\documents and settings\administrator\桌面\test\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
规则: [注册表]*
08:11:50& & 删除注册表值& & 阻止
进程: c:\documents and settings\administrator\桌面\test\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则: [注册表]*
08:11:50& & 修改注册表值& & 阻止
进程: c:\documents and settings\administrator\桌面\test\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则: [注册表]*
恩。有个问题是，我用的那些杀毒软件是报后面的盘没毒，但是还原系统后病毒同样运行。所以还不敢肯定
公司的电脑，配置差的到家555就只装了MD和shadow defender。。。中毒前刚好关了MD，shadow defender也被穿，汗
呵呵，刚好我的系统和你的一模一样，也是只装SD和MD，试了很多样本，还没真正被突破过，刚才下了样本试了下，日志如下：（因我的规则比较严厉，病毒刚发作就被中止了。）据你所说的来看应该是感染型的病毒，甚至还有可能感染了MBR。
19:57:22& & 创建文件& & 阻止
进程: f:\y\y.exe
目标: C:\WINDOWS\system32\lqcyc52.cyc
规则: [文件组]系统保护（防创建） -& [文件]c:\*
19:57:33& & 删除注册表项& & 阻止
进程: f:\y\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
规则:[注册表组]危险一组 -& [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorR DW
19:57:38& & 删除注册表值& & 阻止
进程: f:\y\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则: [注册表组]危险一组 -& [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW; DWFileTreeRoot
19:57:42& & 修改注册表值& & 阻止
进程: f:\y\y.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则:[注册表组]危险一组 -& [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW; DWFileTreeRoot
用MD的文件查找功能看一下后面的盘的文件有没有中毒那个时刻的。
经过深入分析，因病毒利用到MBR,导致重装系统无效，所以我们将其识为鬼影病毒新变种.需要采用金山安全的鬼影专杀工具进行查杀
-&&&&鬼影&详细介绍
第一步：下载金山安全的鬼影专杀工具(永久免费) ,运行后处理病毒。& && &
第二步 安装金山网盾3.6,安装完以后点击主界面右侧的【一键修复 】的按钮，以清除病毒释放的其他恶意程序.
这是现在很流行的淘宝病毒。下载金山网盾先杀。然后下载金山毒霸。把系统补丁打齐 y.exe是w32.small木马的一部分。该木马允许攻击者访问你的计算机，窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。
问问团队金山网盾先锋队共1人编辑答案
既然破坏了MBR，显然重装也不行。还有你提到运行其他分区程序 也会感染，可能是全盘EXE感染了吧？& &这样的话应该就只好用专杀工具了。& &如果是其他EXE没被感染，只是MBR。 不知道修复或重新引导一下会不会省去全盘查杀的步骤。 那样的话GHOST文件应还是原来完整的。除非 GHOST也被感染。。& & 用专杀应该是可以的。
本帖最后由 hudeg632 于
22:26 编辑
枯枫暖血 发表于
经过深入分析，因病毒利用到MBR,导致重装系统无效，所以我们将其识为鬼影病毒新变种.需要采用金山安全的鬼影 ...
这个Y。EXE可以作为鬼影的样本？昨天我遇到个nat.exe的鬼影，当时忘了保存了。
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,封白的推荐 | LOFTER（乐乎） - 记录生活，发现同好
LOFTER for ipad —— 记录生活，发现同好
封白 的推荐
转载自来源
&nbsp&nbsp被喜欢
&nbsp&nbsp被喜欢
{list posts as post}
{if post.type==1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type==2}
{if post.type == 3}
{if !!post.image}
{if post.type == 4}
{if !!post.image}
{if !!photo.labels && photo.labels.length>0}
{var wrapwidth = photo.ow < 500?photo.ow:500}
{list photo.labels as labs}
{var lbtxtwidth = Math.floor(wrapwidth*(labs.ort==1?labs.x:(100-labs.x))/100)-62}
{if lbtxtwidth>12}
{if !!labs.icon}
{list photos as photo}
{if photo_index==0}{break}{/if}
品牌${make||'-'}
型号${model||'-'}
焦距${focalLength||'-'}
光圈${apertureValue||'-'}
快门速度${exposureTime||'-'}
ISO${isoSpeedRatings||'-'}
曝光补偿${exposureBiasValue||'-'}
镜头${lens||'-'}
{if data.msgRank == 1}{/if}
{if data.askSetting == 1}{/if}
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post_index < 3}
{if post.type == 1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
{if drlist.length>0}
更多相似达人：
{list drlist as dr}{if drlist.length === 3 && dr_index === 0}、{/if}{if drlist.length === 3 && dr_index === 1}、{/if}{if drlist.length === 2 && dr_index === 0}、{/if}{/list}
暂无相似达人，
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
this.p={ dwrMethod:'querySharePosts', fpost:'1d139cc6_61cc6bd',userId:,blogListLength:30};但求一睡君莫笑的喜欢 | LOFTER（乐乎） - 记录生活，发现同好
LOFTER for ipad —— 记录生活，发现同好
但求一睡君莫笑 的喜欢
&nbsp&nbsp被喜欢
&nbsp&nbsp被喜欢
{list posts as post}
{if post.type==1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type==2}
{if post.type == 3}
{if !!post.image}
{if post.type == 4}
{if !!post.image}
{if !!photo.labels && photo.labels.length>0}
{var wrapwidth = photo.ow < 500?photo.ow:500}
{list photo.labels as labs}
{var lbtxtwidth = Math.floor(wrapwidth*(labs.ort==1?labs.x:(100-labs.x))/100)-62}
{if lbtxtwidth>12}
{if !!labs.icon}
{list photos as photo}
{if photo_index==0}{break}{/if}
品牌${make||'-'}
型号${model||'-'}
焦距${focalLength||'-'}
光圈${apertureValue||'-'}
快门速度${exposureTime||'-'}
ISO${isoSpeedRatings||'-'}
曝光补偿${exposureBiasValue||'-'}
镜头${lens||'-'}
{if data.msgRank == 1}{/if}
{if data.askSetting == 1}{/if}
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post_index < 3}
{if post.type == 1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
{if drlist.length>0}
更多相似达人：
{list drlist as dr}{if drlist.length === 3 && dr_index === 0}、{/if}{if drlist.length === 3 && dr_index === 1}、{/if}{if drlist.length === 2 && dr_index === 0}、{/if}{/list}
暂无相似达人，
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
this.p={ dwrMethod:'queryLikePosts',fpost:'1df67124',userId:,blogListLength:30};叶子的喜欢 | LOFTER（乐乎） - 记录生活，发现同好
LOFTER for ipad —— 记录生活，发现同好
叶子 的喜欢
&nbsp&nbsp被喜欢
&nbsp&nbsp被喜欢
{list posts as post}
{if post.type==1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type==2}
{if post.type == 3}
{if !!post.image}
{if post.type == 4}
{if !!post.image}
{if !!photo.labels && photo.labels.length>0}
{var wrapwidth = photo.ow < 500?photo.ow:500}
{list photo.labels as labs}
{var lbtxtwidth = Math.floor(wrapwidth*(labs.ort==1?labs.x:(100-labs.x))/100)-62}
{if lbtxtwidth>12}
{if !!labs.icon}
{list photos as photo}
{if photo_index==0}{break}{/if}
品牌${make||'-'}
型号${model||'-'}
焦距${focalLength||'-'}
光圈${apertureValue||'-'}
快门速度${exposureTime||'-'}
ISO${isoSpeedRatings||'-'}
曝光补偿${exposureBiasValue||'-'}
镜头${lens||'-'}
{if data.msgRank == 1}{/if}
{if data.askSetting == 1}{/if}
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post_index < 3}
{if post.type == 1 || post.type == 5}
{if !!post.title}${post.title|escape}{/if}
{if !!post.digest}${post.digest}{/if}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
{if drlist.length>0}
更多相似达人：
{list drlist as dr}{if drlist.length === 3 && dr_index === 0}、{/if}{if drlist.length === 3 && dr_index === 1}、{/if}{if drlist.length === 2 && dr_index === 0}、{/if}{/list}
暂无相似达人，
{if defined('posts')&&posts.length>0}
{list posts as post}
{if post.type == 2}
{if post.type == 3}
{if post.type == 4}
{if post.type == 6}
this.p={ dwrMethod:'queryLikePosts',fpost:'1d07c83f_79bf65e',userId:,blogListLength:17};