auto.exe(Trojan.IMMSG.Win32.TBMSG)及其下载的木马群的处理

此病毒最近十分流行&＃xff0c;究其原因就是大家不注意类似通过U盘传播的病毒的防护&＃xff0c;拿来U盘&＃xff08;移动存储&＃xff09;设备就双击&＃xff0c;导致病毒十分容易的通过U盘传播。
关于此类U盘病毒的防范方法见
另外此病毒一般通过U盘等移动存储传播&＃xff0c;所以如果你电脑最近有插过移动存储&＃xff0c;那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒&＃xff0c;烦请大家做好如下预防工作&＃xff0c;不要再让这类病毒扩散了。&＃xff08;这种东西下载的木马很多&＃xff0c;看日志眼都会花的&＃xff09;

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令&＃xff0c;在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能&＃xff0c;打开其中的“系统”菜单中的“关闭自动播放”的设置&＃xff0c;在其属性里面选择“已启用”&＃xff0c;接着选择“所有驱动器”&＃xff0c;最后确定保存即可。

2.锁住某些注册表权限
开始&＃xff0d;运行&＃xff0d;输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2&＃xff0c;右键单击这个键&＃xff0c;权限&＃xff0c;把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器&＃xff1a;http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法&＃xff01;&＃xff01;&＃xff01;
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮&＃xff08;搜索右边的按钮&＃xff09;
从左边的资源管理器 进入U盘&＃xff08;同上面清除病毒时打开磁盘分区的方法)



此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后&＃xff0c;在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务&＃xff0c;服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下&＃xff1a;
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务&＃xff1a;B12E7AC4

连接网络下载木马&＃xff0c;木马下载的种类千变万化&＃xff0c;所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。


本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下&＃xff1a;
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;
Autorun.inf
[C:\]
[AutoRun]
open&＃61;auto.exe
shellexecute&＃61;auto.exe
shell\Auto\command&＃61;auto.exe
[D:\]
[AutoRun]
open&＃61;auto.exe
shellexecute&＃61;auto.exe
shell\Auto\command&＃61;auto.exe
[E:\]
[AutoRun]
open&＃61;auto.exe
shellexecute&＃61;auto.exe
shell\Auto\command&＃61;auto.exe


查杀方法&＃xff1a;
一.清除病毒主程序&＃xff08;随机8位字母和数字组合的exe和dll&＃xff09;
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll&＃xff0c;因为他是木马群的万恶之源&＃xff01;&＃xff01;
1.首先下载sreng这个软件&＃xff08;http://download.kztechs.com/files/sreng2.zip&＃xff09;
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母&＃xff08;大写&＃xff09;和数字组合的服务