一个木马下载者

File:   eploeree.exe
Size: 11776 bytes
MD5: A1181A46E690DEE626EB9FAF12264DF0
SHA1: 3EF9797B0523E9BD79A349BAE80BEDC667DF41EA
CRC32: D67BEC7E
加壳方式 PECompact 2.x //一款很老的压缩壳了,而且兼容性对现在的双核有点不行

运行后

在C盘根目录下生成iede2.exe

增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{926A036A-158B-047A-E269-D148B0369C14}指向C:\iede2.exe

控制IE连接网络下载木马

http://www.h-xx.com/1/1.exe
http://www.h-xx.com/2/2.exe
http://www.h-xx.com/3/3.exe
http://www.h-xx.com/5/5.exe
http://www.h-xx.com/6/6.exe
http://www.h-xx.com/7/7.exe
http://www.h-xx.com/8/8.exe
http://www.h-xx.com/9/9.exe
http://www.h-xx.com/10/10.exe
http://www.h-xx.com/11/11.exe
http://www.h-xx.com/12/12.exe
http://www.h-xx.com/13/13.exe
http://www.h-xx.com/14/14.exe
http://www.h-xx.com/15/15.exe

到C盘根目录下 分别命名为win12.exe～win162.exe

全部木马植入完毕后

生成如下文件

C:\WINDOWS\system32\drivers\usbine.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\dh2103.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\nwizAsktao.dll
C:\WINDOWS\system32\nwizAsktao.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\nwizhx2.dll
C:\WINDOWS\system32\nwizhx2.exe
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\WMIApiSrv.dll
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\WinForm.exe

sreng日志如下

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>   []
     <WinForm><C:\WINDOWS\WinForm.exe>   []
     <AVPSrv><C:\WINDOWS\AVPSrv.exe>   []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
     <twin><C:\WINDOWS\system32\ctfnom.exe>   [Microsoft Corporation]

服务[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
   <C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
[WMI Performance API / WMIApiSrv][Stopped/Auto Start]
   <C:\WINDOWS\system32\rundll32.exe WMIApiSrv.dll,input><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
   <C:\WINDOWS\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
   <C:\WINDOWS\system32\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Wireless Service / WZCSRVC][Stopped/Auto Start]
   <C:\WINDOWS\system32\rundll32.exe netsrvcs.dll,input><Microsoft Corporation>

解决方法

安全模式下(开机后不断 按F8键   然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是你扫日志的软件）
启动项目   注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>   []
     <WinForm><C:\WINDOWS\WinForm.exe>   []
     <AVPSrv><C:\WINDOWS\AVPSrv.exe>   []
     <twin><C:\WINDOWS\system32\ctfnom.exe>   [Microsoft Corporation]
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Windows DHCP Service / WinDHCPsvc
WMI Performance API / WMIApiSrv
Win32 Debug Service / MSDebugsvc
Win32 Display Driver / Win32DDS
Wireless Service / WZCSRVC
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\drivers\usbine.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\dh2103.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\nwizAsktao.dll
C:\WINDOWS\system32\nwizAsktao.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\nwizhx2.dll
C:\WINDOWS\system32\nwizhx2.exe
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\WMIApiSrv.dll
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\WinForm.exe
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe