1.两天前(10月18日周六)电脑中了木马,弹出IE窗口。
2.用360检查,果然有多个“恶意插件”,清除之,然后重启。
3.重启后就出问题了:等了很长时间桌面才出现;任务栏变成了很扁的一条,拉不上来;“复制、粘贴”无效;打开网络连接,空无一物;无法新建用户;不能播放MP3;sndvol32不能运行,提示说没有混音设备;Ctrl+Shift调不出输入法……
4.分析现象,应该是相关服务没有运行,Win+R(此时“开始”菜单已经没有了)->services.msc,果然自动启动的服务只有少半运行起来了,最重要的是RPC服务无法启动(提示:错误193),导致多个依赖它的服务也不能运行。但Terminal Services居然启动了……
5.尝试安全模式、故障恢复控制台等方法试图启动服务,不成功。
6.各种GOOGLE,一篇文章提到了RPC服务的DLL:rpcss.dll,到SYSTEM32文件夹下一看,修改日期居然是2008-10-18!用sigverif验证,没有微软数字签名!删掉它,用WINDOWS安装盘恢复成原版。
7.SYSTEM32下还有两个修改日期为2008-10-18的DLL,用unlocker查看,发现一个被explorer.exe调用(mfcans34.dll),另一个(bilnav09.dll)被几乎所有正在运行的程序调用。GOOGLE它们的文件名,什么都找不到,将MD5贴到GOOGLE里一搜,结果全是木马检测报告,且每一个报告的文件名都不同,看来文件名是随机生成的。
8.GOOGLE关于嵌入式DLL木马的文章,有两篇很有价值(
《XP中被嵌入到可信进程(如:Explorer.exe)的木马dll文件》,),通过“简单文件共享”的权限控制方法去掉了mfcans04.dll的共享权限,使得任何程序都无法调用这个文件,然后重启。
9.任务栏出来了!弹出一个错误框说加载“mfcans34.dll”出错,访问被拒绝,这是意料之中的。诧异的是用unlocker发现bilnav09.dll没有被任何程序加载!看来这两个DLL是相关联的,mfcans34.dll很可能是bilnav09.dll的守护进程。将这两个文件删掉。
10.再重启,一切恢复正常。只是开机时还会弹出错误框,Rundll找不到mfcans34.dll,但搜索注册表和用autoruns工具都找不到是谁在调用mfcans04.dll(守护进程),系统中应该还有木马的残骸。
11.事隔多天以后,又用autoruns工具检查了一遍,发现在Drivers下有一项赫然写着MFCANS34!是通过注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MFCANS34项加载了文件System32\DRIVERS\mfcans34.sys。mfcans34.sys已经被SYSTEM进程加载,用unlocker解锁,删掉它!
附:两个DLL文件的MD5
bilnav09.dll:df38142b85d5aa93c1ad3910a74173f3
mfcans34.dll:79206cbb320cdf6c01cf3c3aef610920
--------------------------------------------------
体会:知识还是很重要的(MD5,数字签名)。
阅读(2001) | 评论(1) | 转发(0) |