Board logo

标题: winupgro.exe&WINFILSE.EXE病毒临时解决方案 [打印本页]
作者: 点饭的百度空间     时间: 2009-1-18 18:35    标题: winupgro.exe&WINFILSE.EXE病毒临时解决方案

2009-01-17  独孤不平



!不杀毒已好多年。。。。


===================================================================================

病毒简要

该病毒是一具有rootkit的木马下载器,运行后将导致用户杀毒软件启动失败,系统托盘中某一程序映像被病毒替换作为下次病毒自启动,%SystemRoot%\System32\Drivers目录下释放病毒驱动程序SROSA2.SYS、srosa.sys、病毒程序WINFILSE.EXE或winupgro.Exe,创建目录Downld,下载木马文件80937.exe、88875.exe、126937.exe、133078.exe、167765.exe、194296.exe、212156.exe、280703.exe、699609.exe、732484.exe、924250.exe、1526265.exe、1529343.exe、1550875.exe、1559671.exe、1930656.exe、2043218.exe;%APPDATA%\m目录下释放flec006.exe。

==================================================================================

添加注册表启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

MULE_ST_KEY

C:\Documents and Settings\“当前用户”\Application Data\m\flec006.exe

===================================================================

引用中毒后表现

http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html

1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源,
2. 屏蔽国内国外众多杀毒软件,启动杀毒软件后,提示杀毒软件不是有效win32文件
NOD,AVG anti-spyware,卡巴,德国小红伞, HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky,Malwarebytes' Anti-Malware and ComboFix
3.破坏安全模式,进入即可蓝屏

======================================================================

手动清除也不是很麻烦
反正杀毒软件对付新病毒也没什么办法

解决方法

第一步:下载SysinternalsSuite工具包或其中的procexp.exe与Autoruns、下载Winhex;

http://download.sysinternals.com/Files/ProcessExplorer.zip
http://download.sysinternals.com/Files/Autoruns.zip
http://www.x-ways.net/winhex.zip

第二步:执行procexp.exe,选择system进程右键点击属性(properties),选择线程(thread)选项卡查找srosa.sys的线程,找到后将其暂停(supend)见图片;





第三步:执行autoruns.exe在所有的启动项(everything)中找到钥匙图标的程序启动项右键点击删除(delete);



第四步:执行Winhex.exe,在工具菜单中选择“打开磁盘”,在弹出的对话框中双击系统分区,待到winhex遍历完毕分区后,分别对如下列文件进行处理,破坏驱动与进程映像MZ头使其下次无法被系统装载;


%SystemRoot%\System32\Drivers\srosa.sys

%SystemRoot%\System32\Drivers\srosa2.sys

%SystemRoot%\System32\Drivers\WINFILSE.EXE或winupgro.Exe

%APPDATA%\m\flec006.exe









第五步:破坏完成点击保存重启计算机。

第六步:计算机重启后删除目录%SystemRoot%\System32\Drivers\downld及其目录下所有文件以及重启前所破坏的文件,使用autoruns找到其对应启动项全部删除;





第七步:修复安全模式,由于病毒将安全模式整个项删除,不同计算机此项键值不同,修复请导出相同配置计算机HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot项注册表文件导入被此病毒破坏系统即可;将如下注册表文件保存为reg扩展名文件导入计算机进行此病毒临时免疫:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\winupgro.Exe]
"debugger"="c:\\kill.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\WINFILSE.EXE]
"debugger"="c:\\kill.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\flec006.exe]
"debugger"="c:\\kill.exe"



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn