CHF站长论坛 - 查看单个帖子

srsman · 2006-09-06, 00:27

Trojan-Proxy.Win32.Ranky.fv
木马一条

1、病毒运行后释放病毒文件：

%windir%/NT/nrcs.exe
2、删除注册表中所有启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的键值全部删除

3、修改注册表项，随进程userinit.exe和Explorer.exe启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
新建键值: 字串: " Shell "="Explorer.exe C:\WINDOWS\NT\nrcs.exe"
原键值: 字符串: " Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\NT\nrcs.exe"
原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,"

4、新建注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Microsoft (R) Windows Vista
键值: 字串: "NT Runtime Compatibility Service "="C:\WINDOWS\NT\nrcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE
键值: 字串: Tmp"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000\Control
键值: 字串: "ActiveService"="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
键值: 字串: "DeviceDesc "="Windows Vista/NT
Runtime Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
键值: 字串: "Service "="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
键值: 字串: "ImagePath "="C:\WINDOWS\NT\nrcs.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
键值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_NTRCS\0000\Control
键值: 字串: "ActiveService "="ntrcs"

5、还原系统隐藏属性

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

2006-09-06, 00:27	#2 (页面定位)
srsman 注册日期: 2005-11-08 帖子: 1803	Trojan-Proxy.Win32.Ranky.fv 木马一条 1、病毒运行后释放病毒文件： %windir%/NT/nrcs.exe 2、删除注册表中所有启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的键值全部删除 3、修改注册表项，随进程userinit.exe和Explorer.exe启动： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon 新建键值: 字串: " Shell "="Explorer.exe C:\WINDOWS\NT\nrcs.exe" 原键值: 字符串: " Shell "="Explorer.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\NT\nrcs.exe" 原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe," 4、新建注册表，添加启动项，以达到随机启动的目的： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\Microsoft (R) Windows Vista 键值: 字串: "NT Runtime Compatibility Service "="C:\WINDOWS\NT\nrcs.exe" HKEY_LOCAL_MACHINE\SOFTWARE 键值: 字串: Tmp"="LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000\Control 键值: 字串: "ActiveService"="ntrcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000 键值: 字串: "DeviceDesc "="Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000 键值: 字串: "Service "="ntrcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs 键值: 字串: "ImagePath "="C:\WINDOWS\NT\nrcs.exe. " HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs 键值: 字串: "ObjectName "="LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT \nrcs.exe::Enabled:Microsoft (R) Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT \nrcs.exe::Enabled:Microsoft (R) Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_NTRCS\0000\Control 键值: 字串: "ActiveService "="ntrcs" 5、还原系统隐藏属性注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。我的宝宝树