微点交流论坛 - 主动防御 - winupgro.exe&WINFILSE.EXE病毒临时解决方案

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » winupgro.exe&WINFILSE.EXE病毒临时解决方案

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 winupgro.exe&WINFILSE.EXE病毒临时解决方案

2009-01-17 独孤不平

！不杀毒已好多年。。。。

===================================================================================

病毒简要：

该病毒是一具有rootkit的木马下载器，运行后将导致用户杀毒软件启动失败，系统托盘中某一程序映像被病毒替换作为下次病毒自启动，%SystemRoot%\System32\Drivers目录下释放病毒驱动程序SROSA2.SYS、srosa.sys、病毒程序WINFILSE.EXE或winupgro.Exe，创建目录Downld，下载木马文件80937.exe、88875.exe、126937.exe、133078.exe、167765.exe、194296.exe、212156.exe、280703.exe、699609.exe、732484.exe、924250.exe、1526265.exe、1529343.exe、1550875.exe、1559671.exe、1930656.exe、2043218.exe；%APPDATA%\m目录下释放flec006.exe。

==================================================================================

添加注册表启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

MULE_ST_KEY

C:\Documents and Settings\“当前用户”\Application Data\m\flec006.exe

===================================================================

引用中毒后表现：

http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html

1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源，
2. 屏蔽国内国外众多杀毒软件，启动杀毒软件后，提示杀毒软件不是有效win32文件
NOD，AVG anti-spyware，卡巴，德国小红伞， HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky，Malwarebytes' Anti-Malware and ComboFix
3.破坏安全模式，进入即可蓝屏

======================================================================

手动清除也不是很麻烦
反正杀毒软件对付新病毒也没什么办法

解决方法：

第一步：下载SysinternalsSuite工具包或其中的procexp.exe与Autoruns、下载Winhex；

http://download.sysinternals.com/Files/ProcessExplorer.zip
http://download.sysinternals.com/Files/Autoruns.zip
http://www.x-ways.net/winhex.zip

第二步：执行procexp.exe，选择system进程右键点击属性（properties），选择线程（thread）选项卡查找srosa.sys的线程，找到后将其暂停（supend）见图片；

第三步：执行autoruns.exe在所有的启动项（everything）中找到钥匙图标的程序启动项右键点击删除（delete）；

第四步：执行Winhex.exe，在工具菜单中选择“打开磁盘”，在弹出的对话框中双击系统分区，待到winhex遍历完毕分区后，分别对如下列文件进行处理，破坏驱动与进程映像MZ头使其下次无法被系统装载；

%SystemRoot%\System32\Drivers\srosa.sys

%SystemRoot%\System32\Drivers\srosa2.sys

%SystemRoot%\System32\Drivers\WINFILSE.EXE或winupgro.Exe

%APPDATA%\m\flec006.exe

第五步：破坏完成点击保存重启计算机。

第六步：计算机重启后删除目录%SystemRoot%\System32\Drivers\downld及其目录下所有文件以及重启前所破坏的文件，使用autoruns找到其对应启动项全部删除；

第七步：修复安全模式，由于病毒将安全模式整个项删除，不同计算机此项键值不同，修复请导出相同配置计算机HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot项注册表文件导入被此病毒破坏系统即可；将如下注册表文件保存为reg扩展名文件导入计算机进行此病毒临时免疫：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\winupgro.Exe]
"debugger"="c:\\kill.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\WINFILSE.EXE]
"debugger"="c:\\kill.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\flec006.exe]
"debugger"="c:\\kill.exe"

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-1-18 18:35

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号