是否有可以根除TrojanDownloader.Unruy.AA 木馬病毒的方法?

monoceros
個人積分：25分
文章編號：15455235

25分

樓主

2009-10-25 16:59

最近感覺我的XP一直在存取網路,用NOD32卻掃不到木馬病毒,只好自己到system32目錄下面找找是否有可疑檔案..有發現一支名叫"racse.exe"的可疑檔,送到VirusTotal 網站去分析,結果如下:

是否有可以根除TrojanDownloader.Unruy.AA 木馬病毒的方法?

是否有可以根除TrojanDownloader.Unruy.AA 木馬病毒的方法?

雖然不知道這檔案在XP下的功能和作用,但是刪掉後感覺網路沒有再被任意存取...但是每次重開機後NOD32都還是會顯示 "Win32/TrojanDownloader.Unruy.AA 木馬已用刪除方式清除"的訊息...看來還是無法根除

..不知哪位大大遇過類似的病毒,若能提供根除方法絕對是感激不盡~~

2009-10-25 16:59 發佈

文章關鍵字木馬病毒 TrojanDownloader. Unruy.AA 方法

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15455390

8分

2樓

2009-10-25 17:12

如果您肯耐心配合，搞不好可以幫您處理掉唷。
首先需要更充足的資訊，請補充以下A.B兩點資料。

A.NOD32顯示的資訊
中毒檔案：
病毒名稱：
檔案路徑：

B.SREng程式的日誌
SREng：http://star000star.myweb.hinet.net/2009/sre.ng2.zip
●執行SREng主程式，左下角選擇「智慧掃描」，不要更動任何設置開始掃描，掃描結束後將Log存檔。

掃描完成後的日誌，請上傳到指定Sendspace空間，方便閱讀、減少版面。
http://star000star.myweb.hinet.net/2009/sendspace.htm

monoceros

monoceros
個人積分：25分
文章編號：15455641

25分

樓主

2009-10-25 17:32

。如夢似幻。 wrote:
如果您肯耐心配合，搞...(恕刪)

感謝如夢大大的幫忙~~~~目前正在掃描中..看來得花上不少時間...

無色無味的都市人生

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15456507

8分

4樓

2009-10-25 18:33

monoceros wrote:
感謝如夢大大的幫忙~...(恕刪)

SREng掃描通常都不會超過十分鐘唷…
NOD32的資訊只要開機跳出來那一張就好了。
所以我有點不懂，為什麼您會花那麼多時間

*補充：如果Log掃好貼上來了，記得發訊息通知我，對01系統不熟，不曉得文章怎追蹤。

monoceros

monoceros
個人積分：25分
文章編號：15465075

25分

樓主

2009-10-26 1:25

感謝大大的提醒~~一直掃了幾個小時,還以為有夠慢..原來是軟體當在那裡..

重開機後再掃瞄,沒多久就完成了. 我已經將 SREngLOG 和 NOD32的訊息壓縮上傳到 http://www.sendspace.com/file/lholz6
目前病毒是約每隔15分鐘攻擊一次...還煩請大大的繼續幫忙~感謝

無色無味的都市人生

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15466009

8分

6樓

2009-10-26 4:04

這有點玄了，根據NOD32監控，在下載木馬的都是您自己安裝的軟件

而且數位簽章都蒸發了。
感覺上有三個可能：1.加料、2.感染、3.替換

建議您先用ArPick把這些樣本提取上來看看，有些狀況得用防毒軟件公司的東西修復，先拿樣本檢查看看。
http://star000star.myweb.hinet.net/2009/ArPick_use.htm

C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\UpdReg.EXE
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Documents and Settings\Administrator\wqe.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\iecal\ujtm.exe
C:\WINDOWS\system32\Drivers\Vcs.sys
C:\WINDOWS\system32\CTAUDFX.DLL
C:\WINDOWS\system32\CTEDSPFX.DLL
C:\WINDOWS\system32\CTEDSPSY.DLL
C:\WINDOWS\system32\CTEXFIFX.DLL
C:\Program Files\Ahead\InCD\InCD .exe
C:\PROGRAM FILES\CREATIVE\SBAUDIGY2\DVDAUDIO\CTDVDDET .EXE

最有意思的是，路徑上有幾個進程，名稱多了「空格.exe」，彷彿有種Vundo的熟悉感

例如：
C:\Program Files\Ahead\InCD\InCD .exe
C:\PROGRAM FILES\CREATIVE\SBAUDIGY2\DVDAUDIO\CTDVDDET .EXE
V.S
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

上面提取完之後，下載Combofix執行一次，然後把Log也傳上來；Combofix運行請確保網路通順，NOD32也別關，雖然他可能會偵測、干擾Combofix，提示的話就手動允許一下。
http://reinfors.googlepages.com/combofix1.html

Combofix之後SREng也在重掃一次，一樣上傳上來，等於Log重來一次。

monoceros

monoceros
個人積分：25分
文章編號：15478714

25分

樓主

2009-10-26 18:15

已將上述的相關檔案上傳到 http://www.sendspace.com/file/8p895a
雖然病毒經combofix的殺戮,但目前還是留守在我的電腦裡..看來得砍掉InCD重灌,再不行,就得XP重灌了..

無色無味的都市人生

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15479693

8分

8樓

2009-10-26 19:19

是不用急著重灌啦…Orz
就算重灌了，只要有備份EXE檔就可能會重來一次，因為我不曉得他替換範圍多廣。

問題找到了，不在您的軟件問題，而是軟件被惡意程式替換過了。
解決方法是有，不過有缺點就是會造成「許多誠摯找不到檔案」。

意思就跟我上面的一樣，在說明一次
「Name.exe」這是病毒。
「Name .exe」這是原本的程式，被改了名字了。
刪除病毒很簡單，只不過您的程式得自己去還原，把空格拿掉變回去原本的程式檔。

晚點在把處理方式Key一下，手邊還有其他事情，晚點在編輯這篇回覆。

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15481336

8分

9樓

2009-10-26 21:00

這樣處理一次，應該就能解決Trojan的問題了，可是前面說過的，程式丟失問題得自己修復，太古老的問題手邊臨時沒修復方案。

一、準備以下工具：
Kaspersky Tools：http://star000star.myweb.hinet.net/2009/Kaspersky_tool.htm
SREng：http://star000star.myweb.hinet.net/2009/sre.ng2.zip

二、依照網頁說明，安裝Kaspersky Tools，之後不要掃描，繼續下個動作。

三、開啟SREng=>左邊點選「啟動專案」=>「服務」=>「win32應用程式」=> 找到以下項目。
=>勾選「修改啟動類型」=> 按下「啟動類型」之選單=>選擇「Disabled」=>按下「設置」提示視窗，按下「是」。
[Program Data Access Controller / rasr][Stopped/Auto Start]
<C:\Program Files\iecal\ujtm.exe><N/A>

四、進入安全模式，不會請參考動畫教學。
http://ms91.nttu.edu.tw/~u9103010/safe%20mode.swf

五、手動啟動剛剛安裝的Kaspersky Tools，全機掃描且刪除所有問題；並且將本次掃描輸出成可閱讀格式。

六、自己把這幾個檔案改一下名字，把空格去掉改成沒空格。
C:\WINDOWS\UpdReg .EXE
C:\Program Files\Ahead\InCD\InCD .exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet .EXE

七、反操作安全模式，回到正常模式，檢查是否還有此問題？並且建議把Kaspersky Tools掃描Log傳上來看看。
*如果執行軟體跳出找不到xxx.exe，就跟第六步驟一樣，自己去改個名字。

monoceros

monoceros
個人積分：25分
文章編號：15520691

25分

樓主

2009-10-28 15:32

謝謝大大這些日子的專業指導及幫忙..經過了Kaspersky在安全模式下約15個小時的超慢速掃描(遇到壓縮檔就會超龜速),最後不知是Kaspersky太殺紅了眼,還是我太順從了它的旨意,就從此與Windows的正常模式永隔,再也進不去.....不過這樣也好,起碼病毒被殺光光 orz

...目前已把Windows重灌,其他軟體也在慢慢建立中..

無色無味的都市人生