中了 netdde32.exe ，有何妙策？

lxl1638 · 发表于 2007-7-14 19:11:20

如题，netdde32.exe 。

lintel · 发表于 2007-7-14 19:37:33

广告木马 netdde32.exe KB9269O6.log 解决方案

档案编号：CISRT2007067
病毒名称：N/A（Kaspersky）
病毒别名：Win32.Hack.Unknown.57080（毒霸）
病毒大小：57,080 字节
加壳方式：
样本MD5：7ddf93d94030c98f0c0807f748f2a5e5
样本SHA1：0f35c0074c770c18654203c3179655d3e9d8835b
发现时间：2007.5
更新时间：2007.5
关联病毒：
传播方式：恶意网页、程序捆绑、其它病毒或木马下载

技术分析
==========

这是一个下载广告程序的木马，运行后复制自身到系统目录：
%System%\netdde32.exe
释放dll注入进程：
%Windows%\KB9269O6.log

创建映像劫持：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="%System%\netdde32.exe"

并监视恢复。

尝试访问网络下载广告程序并安装。

清除步骤
==========

1. 重命名木马文件：
%System%\netdde32.exe
%Windows%\KB9269O6.log

2. 复制一份%Windows%\Explorer.exe，并将复制的Explorer.exe重命名为netdde32.exe存放到%System%目录中

3. 重新启动计算机

4. 删除重命名过的木马文件：
%System%\netdde32.exe
%Windows%\KB9269O6.log

5. 删除新建的%System%\netdde32.exe

6. 删除木马创建的映像劫持：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="%System%\netdde32.exe"

lintel · 发表于 2007-7-14 19:38:07

SO 到的,估计对你没有什么帮助....

lxl1638 · 发表于 2007-7-14 19:42:01

网上也找到了这些资料，但好象不起作用。
其中 KB9269O6.log 这个文件变成了 KB98XXXX.log ，它升级了？？？？！！！

用 Hex编辑器查过，KB98XXXX.log是个DLL文件。

[ 本帖最后由 lxl1638 于 2007-7-14 07:44 PM 编辑 ]

123 · 发表于 2007-7-14 19:43:37

结束进程然后删除

lxl1638 · 发表于 2007-7-14 19:45:27

MM，netdde32.exe ，KB98XXXX.log 都删了，也没有用。

lxl1638 · 发表于 2007-7-14 19:46:17

呵呵，好多黄色广告，好多PLMM。

123 · 发表于 2007-7-14 19:47:22

原帖由 lxl1638 于 2007-7-14 19:45 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1134454&ptid=109772" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://bbs.wuyou.net/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a> 
MM，netdde32.exe ，KB98XXXX.log 都删了，也没有用。

自动创建文件吗？不让他创建就是了。结束进程后自动重新运行吗？不让他运行就是了。

123 · 发表于 2007-7-14 19:51:26

原帖由 lxl1638 于 2007-7-14 19:46 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1134456&ptid=109772" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://bbs.wuyou.net/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a> 
呵呵，好多黄色广告，好多PLMM。

中了也好，你喜欢看

hugh23 · 发表于 2007-7-14 19:56:30

重装是万能的~~~~~^_^

netwinxp · 发表于 2007-7-14 21:35:51

用PE启动盘启动上网下载Registrar Registry Manager并运行，加载硬盘Software，把"Debugger"="%System%\netdde32.exe" 删除并保存注册表，删除硬盘中的netdde32.exe 和相关的假的.log文件(创建时间与别人不一样)。完毕！:victory:
你也可以不用Registrar Registry Manager，直接用REG RESTORE KeyName FileName，把硬盘Softeware挂接的PE的注册表上，然后用regedit编辑，最后用REG SAVE回存:lol

[ 本帖最后由 netwinxp 于 2007-7-14 09:39 PM 编辑 ]

lxl1638 · 发表于 2007-7-14 22:42:42

都按这样搞了，文件是在PE下删的，注册表也是在PE下搞了。
就是不干净

netwinxp · 发表于 2007-7-15 00:11:48

完蛋了，估计是变种的复合型病毒，用杀毒的杀一杀试试，不行的话估计要重装了。;P

tdkj1247 · 发表于 2007-7-15 01:05:14

重装万能？
孩子你还真小啊

netwinxp · 发表于 2007-7-15 01:07:04

连重装的真实含义都没弄懂，就在那乱P人:Q。你所说的重装大家一般叫它覆盖安装，懂不？

[ 本帖最后由 netwinxp 于 2007-7-15 01:08 AM 编辑 ]

鹤冲天 · 发表于 2007-7-15 10:29:44

竞相劫持，现在病毒都用这个了！垃圾！MD，这帮孙子也真没创意！！
把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="%System%\netdde32.exe"的权限禁了！
创建日期一样吗？？搜下看看，还有其他的吗？
如果还不中，我这有个馊主意，用虚拟机监视C盘、监视注册表，完后在中一次病毒，嘿嘿，偶就不信搞不死它！！
还有这个家伙是否感染EXE。要是感染就烦人了，不借助杀毒工具就不好弄了！！

123 · 发表于 2007-7-15 11:35:57

用文件拦截器拦截它修改EXE文件，它创建不了文件删一个就少一个，有必要用杀毒软件吗？
如果没有文件拦截器就自己做一个，用HOOK WriteFile

netwinxp · 发表于 2007-7-15 15:17:32

如果它把注册表内一些重要的信息撰改了，我们有办法恢复回来吗？:o

123 · 发表于 2007-7-15 15:32:52

原帖由 netwinxp 于 2007-7-15 15:17 发表
如果它把注册表内一些重要的信息撰改了，我们有办法恢复回来吗？:o

有备份就行,没有也没关系,有很多修复软件

netwinxp · 发表于 2007-7-15 15:34:34

如果是挂到设备驱程上估计就很难恢复了。

chen463 · 发表于 2007-7-15 16:05:02

不要建议他，那么快ghost或重装，说不定几天后，出一个杀毒软件来

鹤冲天 · 发表于 2007-7-15 18:18:09

原帖由 123 于 2007-7-15 11:35 AM 发表
用文件拦截器拦截它修改EXE文件，它创建不了文件删一个就少一个，有必要用杀毒软件吗？
如果没有文件拦截器就自己做一个，用HOOK WriteFile

MM，能给偶一个文件拦截器不？偶不会写，呵呵:$

123 · 发表于 2007-7-15 19:58:52

原帖由 鹤冲天 于 2007-7-15 18:18 发表

MM，能给偶一个文件拦截器不？偶不会写，呵呵:$

叫wang6071 ,他有现成的

lintel · 发表于 2007-7-15 20:11:09

.............自己解决

lxl1638 · 发表于 2007-7-16 10:52:43

似乎这个木马已杀干净了，已有一天半上网不弹出那些MM网页了。
没有MM看了，有点可惜。

netwinxp · 发表于 2007-7-16 10:58:04

原帖由 lxl1638 于 2007-7-16 10:52 发表
似乎这个木马已杀干净了，已有一天半上网不弹出那些MM网页了。
没有MM看了，有点可惜。

那继续挂上?:o ;P ;P

pandorak · 发表于 2007-7-16 11:24:12

提示: 作者被禁止或删除内容自动屏蔽

鹤冲天 · 发表于 2007-7-17 21:09:09

原帖由 lxl1638 于 2007-7-16 10:52 AM 发表
似乎这个木马已杀干净了，已有一天半上网不弹出那些MM网页了。
没有MM看了，有点可惜。

说下过程！

		自动登录	找回密码
密码			注册

pandorak pandorak 当前离线积分 53999 IP卡狗仔卡	发表于 2007-7-16 11:24:12 \| 显示全部楼层 ---> 升级权限提示: 作者被禁止或删除内容自动屏蔽
pandorak pandorak 当前离线积分 53999 IP卡狗仔卡
	回复使用道具举报显身卡

中了 netdde32.exe ，有何妙策？

浏览过的版块