-
最近帮朋友和同事处理机子遇见了一种新木马群,劫持杀毒软件,从网上下载大量木马病毒,占用大量系统资源,导致系统崩溃。
第一次遇见时还没有在意,朋友说机子瘫了,于是去看了一下,进程里都是随机的数字命名病毒,杀毒软件打不开。于是ghost重装了系统,重装杀毒软件,升级后让朋友全盘杀毒就闪人了。没想到下午朋友就打电话说又完蛋了。
这才重视了,又过去检查,估计是新变种病毒,能劫持最新杀毒软件,感染全盘。
检查发现,此病毒估计为机器狗最新变种,比旧版机器狗更难杀。
此病毒会在C盘windows目录以及非系统盘根目录和所有含.exe程序的文件夹内注入一个大约7~40kb左右的usp10.dll文件,并改为系统和隐藏属性。一旦注入成功,运行任何一个非系统盘的软件或程序,就会自动加载同目录内的这个usp10.dll文件。连接网络的状态下,此病毒下载明目繁多的“随机数字”名(无后缀)病毒程序到当前用户临时文件夹Temp中。这些程序加载后,在%system%目录下逐一释放病毒dll(很多)。
此病毒利用了系统进入有图片目录都会读取thumbs.db的机会来执行恶意代码,在Windows目录下生成usp10.dll,因为很多程序执行时都会调用系统的usp10.dll。调用的顺序->当前目录->Path指定目录,然后就会调用到Windows下的usp10.dll,然后在各执行程序的当前目录生成usp10.dll,就这样一直COPY下去。
此病毒还会在QQ目录下生成psapi.dll。
USP10.dll本身是字符显示脚本应用程序接口相关文件。存在于C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll。这两个文件是系统文件,大约400~500k左右,生成日期不会是新近日期,和病毒很好区分。
说了这么多,还是先告诉大家如何解决这个病毒吧。
1.重装系统,(usp10.dll下载的病毒都在C盘,重装就不用手工去清除了),最好不要ghost纯净版的,这样会带有winrar软件。
2.装好系统进入桌面后,千万不要打开任何非系统分区。
3.打开winrar软件,从winrar进入所有非系统分区根目录,先删除根目录下usp10.dll;然后进入QQ安装目录,删除psapi.dll。
4.按win+F,打开搜索界面,全盘搜索usp10.dll(包含隐藏文件-点击更多高级选项->勾选搜索搜索隐藏的文件和文件夹),除了C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll两个不删外,其它的全部删除;全盘搜索thumbs.db(一样),全部删除。
5.进入资源管理器->工具->文件夹选项->查看->勾选[不缓存缩略图],这样就不会生成thumbs.db了。
如此之后就不会发生重装后系统依然带毒的情形了。
如果有高手朋友中毒后不想重装的话,也可以手工清楚C盘病毒,麻烦一点。
此毒的驱动msiffei.sys加载后恢复SSDT,可用的工具大多失效。预先打开的IceSword,如果没有其它工具守护也会被此毒关掉。
此毒在%windows%\Tasks\目录下释放一个名为“1”(无后缀)的病毒文件,手工杀毒时,此文件容易被中招者忽略。
此毒还释放下列病毒文件:
C:\windows\fonts\ComRes.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
c:\program files\internet explorer\powernent.onz此毒比较阴损,通过替换系统驱动beep.sys替换系统程序userinit.exe,还篡改win.ini文件。在中毒状态下,查看被篡改的win.ini文件的内容——无异常。如果中招用户仅仅将所列的病毒文件统统删除,而忘记将这两个重要系统文件复原,那么下次系统启动时,用户无法进入系统。
同时观察此毒会替换掉下面系统内的几个重要文件。可能需要替换回正确的文件。
C:\WINDOWS\system32\ctfmon.exe
c:\windows\system32\rpcss.dll
C:\WINDOWS\System32\COMRes.dll使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程:
1、先打开WINRAR,查看当前用户临时文件夹Temp、C:\WINDOWS\Fonts、C:\Program Files\Internet Explorer\等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。
2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中。
3、用U盘从正常同类系统的电脑上拷贝C:\WINDOWS\ win.ini(改名为0.txt)以及C:\WINDOWS\system32\userinit.exe(改名为0.exe),然后,将U盘中的C:\WINDOWS\0.txt和C:\WINDOWS\system32\0.exe分别拷贝到%WINDOWS%目录和%system%目录下。
将下列内容也粘贴到上述记事本文件中:
dos#ren C:\WINDOWS\0.txt win.ini
dos#ren C:\WINDOWS\system32\0.exe userinit.exe
4、全选记事本文件的所有内容,复制。
5、打开XDELBOX,右击XDELBOX窗口,点击:“剪贴板导入不检查路径”。将病毒程序名全部导入。6、点击“抑制再生”。
7、右击XDELBOX窗口,点击“立即重启执行删除”。系统重启后,XDELBOX进入DOS环境,逐一将导入的病毒程序删除,并将C:\WINDOWS\0.txt 改名为win.ini;将C:\WINDOWS\system32\0.exe 改名为userinit.exe。然后重启到windows系统。
8、重新进入系统后,打扫一下垃圾(清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹)。然后,删除病毒添加的IFEO劫持项(我这里见到的是劫持瑞星2009和迅雷)。
最后,将hosts文件中病毒添加的内容删除,保存hosts。注意:
appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后,自己再重建一个,填上正常的键值即可(瑞星用户此键值是kmon.dll)。附上我完全找到的全部病毒文件列表(病毒文件名是变化的。此表仅供参考):
C:\Documents and Settings\baohelin\Local Settings\Temp\109ef1.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\1157238
C:\Documents and Settings\baohelin\Local Settings\Temp\5F.tmp.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\b.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\WowInitcode.dat
C:\Documents and Settings\baohelin\Local Settings\Temp\wsasystem.gif
C:\Documents and Settings\baohelin\Local Settings\Temp\11231237
C:\Documents and Settings\baohelin\Local Settings\Temp\1437460
C:\Documents and Settings\baohelin\Local Settings\Temp\1518277
C:\Documents and Settings\baohelin\Local Settings\Temp\1529262
C:\WINDOWS\system32\drivers\msiffei.sys
C:\WINDOWS\system32\drivers\beep.sys
c:\windows\system32\6BB957B4.dat
c:\windows\system32\anymie360.exe
c:\windows\system32\anymie360.dll
c:\windows\system32\anymie360.ini
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\oohelamb.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
c:\program files\internet explorer\powernent.onz
c:\windows\system32\Drivers\msiffei.sys
c:\windows\system32\6bb957b4.dat
c:\windows\system32\bmnejfck.dll
C:\windows\fonts\ComRes.dll
C:\windows\Tasks\1
e:\usp10.dll
c:\windows\fonts\comres.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
C:\WINDOWS\Fonts\CtmRes.dll
提供XDelBox V1.8 中文绿色版
闲网信步
易名曰“闲网信步”。。。
个人的网络生活回忆。。。
共1页 1
日历
搜索
最新日志
最新评论
公益链接
存档
- 来过这里的Friends: