无忧启动论坛

标题: Empty是什么？ [打印本页]

---

作者: cde90    时间: 2006-5-31 23:40
标题: Empty是什么？
每次开机时启动项里就有Empty指向MS-DOS的快捷方式。删除后，重启还是有。
还有一个问题，进程里总有ping.exe一项，不知道是什么，结束后自己又出来了，
怎么回事啊？朋友帮帮我

---

作者: cde90    时间: 2006-6-1 14:09
朋友帮帮我啊。

---

作者: 6618    时间: 2006-6-1 16:15
【前言】
这是一个通过电子邮件传播的蠕虫病毒。该病毒能释放病毒文件，修改注册表项目，达到开机自启动。当任意窗口出现特定字样后，计算机还会被重新启动。病毒能自动搜集用户机器上的电子邮件地址，并把病毒作为附件发送出去。
目前该蠕虫出现了三个变种：
Worm.Brontok.a
Worm.Brontok.b
Worm.Brontok.c

【分析】
本次病毒分析以WINXP系统为例

Worm.Brontok会加载几个常见的可疑进程（举例如下）：
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\csrss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\inetinfo.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\services.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\smss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\svchost.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\lsass.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\winlogon.exe

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Worm.Brontok会添加自启动项（举例如下）：
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

O4 - 启动项HKLM\\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"

O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\用户名\Local Settings\Application Data\smss.exe"

O4 - Startup: Empty.pif = ?

特别地
Worm.Brontok会修改注册表相关键值
达到使系统在安全模式下自动调用恶意程序的目的
例如：
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
AlternateShell = "cmd-brontok.exe"

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Worm.Brontok会修改注册表：
禁用注册表
禁用文件夹选项
以达到隐藏自己，自我保护的目的

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Worm.Brontok会修改C:\Autoexec.bat
（C是系统盘符）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

【解决参考】

用可以查看系统进程的小工具结束如下进程：
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\csrss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\inetinfo.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\services.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\smss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\svchost.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\lsass.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\winlogon.exe

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

用HIJACKTHIS修复
O4 - 启动项HKLM\\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\yexianbin\Local Settings\Application Data\smss.exe"
O4 - Startup: Empty.pif = ?
O7 -HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

开始－－运行
输入regedit
确定
进入注册表

修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]


修改
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\]
AlternateShell = "cmd-brontok.exe"
为
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\]
AlternateShell = "cmd.exe"

修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="1"

修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"ShowSuperHidden" = "0"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"ShowSuperHidden" = "1"

修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"HideFileExt"="1"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"HideFileExt"="0"

修改
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions＝"1"
为
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions＝"0"

删除如下自启动项：
[HKLM\software\microsoft\windows\currentversion\run\]
Bron-Spizaetus = "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"

[HKCU\software\microsoft\windows\currentversion\run\]
Tok-Cirrhatus-1464 = "C:\Documents and Settings\用户名\Local Settings\Application Data\br3951on.exe"

[HKCU\software\microsoft\windows\currentversion\run\]
Tok-Cirrhatus = ""

[HKLM\SoftWare\Microsoft\Windows\CurrentVersionWinlogon\Shell]
Bron-Spizaetus="C:\WINDOWS\ShellNew\RakyatKelaparan.exe"


＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

清空清空C:\Autoexec.bat
（C代表系统盘符）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

删除如下文件：
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\csrss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\inetinfo.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\services.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\smss.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\svchost.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\lsass.exe
C:\Documents and Settings\用户名\LocalSettings\ApplicationData\winlogon.exe
C:\Documents and Settings\用户名\Local Settings\Application Data\br3951on.exe
C:\Documents and Settings\用户名\[开始]菜单\程序\启动\empty.pif
C:\Documents and Settings\用户名\Templates\WowTumpeh.com
C:\WINDOWS\System32\administrator'ssetting.exe
C:\WINDOWS\System32\cmd-brontok.exe
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\ShellNew\RakyatKelaparan.exe

---

作者: sansa520    时间: 2006-6-1 16:39
哇..学习了

---

作者: cde90    时间: 2006-6-10 23:28
上面说的好复杂！后来我进入安全模式用了雅虎助手的强力修复，居然解决。

---

作者: bdfcy    时间: 2006-6-11 02:41
不可否认雅虎助手有简单的IE修复和系统自运行清理的能力，但其本身就被广大的中国网友誉名为“流氓软件”

---

作者: Robertzao    时间: 2006-7-31 10:16
流氓软件很好用啊!:o

---

作者: pandorak    时间: 2006-7-31 12:51
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: magictek    时间: 2006-7-31 16:29

原帖由 bdfcy 于 2006-6-11 02:41 发表
不可否认雅虎助手有简单的IE修复和系统自运行清理的能力，但其本身就被广大的中国网友誉名为“流氓软件”

什么“誉为”流氓软件，就是TMD流氓软件

---

作者: a0399888    时间: 2006-7-31 16:29
提示: 作者被禁止或删除 内容自动屏蔽

---

欢迎光临 无忧启动论坛 (http://wuyou.net/)

Powered by Discuz! X3.3