一个坏事做绝的U盘病毒 MSInfo 41115BDD.dll 41115bdd.dat

最新推荐文章于 2020-11-28 20:57:29 发布
最新推荐文章于 2020-11-28 20:57:29 发布
阅读量2.4k 收藏
点赞数
分类专栏: 电脑病毒 文章标签: c dll microsoft 杀毒软件 windows 工具
最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度

病毒运行后
在C:/Program Files/Common Files/Microsoft Shared/MSInfo/下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:/Program Files/Common Files/Microsoft Shared/MSInfo/41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:/program files/common files/microsoft shared/msinfo/41115bdd.dat

监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭

以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:/Program Files/Common Files/Microsoft Shared/MSInfo/41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:/Program Files/Common Files/Microsoft Shared/MSINFO/41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复

删除键
HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

修改HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue值为0x00000000
使得显示不了隐藏文件

释放8668122F.exe和autorun.inf到除系统分区外的其他分区


然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:/WINDOWS/system/20290.exe
C:/WINDOWS/system/ad1309.exe
C:/WINDOWS/system/DiskFree_hy1.5.exe
C:/WINDOWS/system/dodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件

C:/WINDOWS/system32/drivers/acpidisk.sys
C:/WINDOWS/system32/drivers/tolnfo47.sys
C:/WINDOWS/system32/drivers/vilpew30.sys
C:/WINDOWS/system32/drivers/ykagjt85.sys
C:/WINDOWS/system32/1b.dll
C:/WINDOWS/system32/48a69
C:/WINDOWS/system32/60e4.exe
C:/WINDOWS/system32/7df9.dll
C:/WINDOWS/system32/91b6.dll
C:/WINDOWS/system32/b60.dll
C:/WINDOWS/system32/bpjlgv91.dll
C:/WINDOWS/system32/df91.dll
C:/WINDOWS/system32/f91b.exe
C:/WINDOWS/system32/ieagent.exe
C:/WINDOWS/system32/mprmsgse.axz
C:/WINDOWS/system32/mscpx32r.det
C:/WINDOWS/system32/MSRundll.exe
C:/WINDOWS/system32/ntprint.dIl
C:/WINDOWS/system32/tolnfo47.dll
C:/WINDOWS/system32/tolnfo47.ini
C:/WINDOWS/system32/vilpew30.dll
C:/WINDOWS/system32/wingjt85.bin
C:/WINDOWS/system32/wingjt85.dll
C:/WINDOWS/system32/winkx.dll
C:/WINDOWS/system32/winlgv91.bin
C:/WINDOWS/system32/winpew30.bin
C:/WINDOWS/system32/winpew30.dll
C:/WINDOWS/system32/ykagjt85.dll
C:/WINDOWS/system32/cewrndm.dll
C:/WINDOWS/system32/tolnfo47.dll
C:/WINDOWS/system32/vilpew30.dll
C:/WINDOWS/system32/b60.dll
C:/WINDOWS/03.bmp
C:/WINDOWS/3fa.exe
C:/WINDOWS/41115BDD.hlp
C:/WINDOWS/fa7c.txt
C:/Program Files/Internet Explorer/PLUGINS/system2.jmp
C:/Program Files/Internet Explorer/PLUGINS/SystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free

下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html(里面有下载

地址)

首先用Xdelbox 删除C:/Program Files/Common Files/Microsoft Shared/MSInfo/41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名

打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation

c:/windows/system32/ntsd.exe这项以外 全部删除

删除后 sreng就可以运行咯

打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式

打开sreng
启动项目 注册表 删除如下项目

<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:/Program Files/Internet Explorer/PLUGINS/SystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:/Program Files/Common Files/Microsoft Shared/MSINFO/41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/ctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:/WINDOWS/system32/ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:/WINDOWS/system32/60e4.exe><N/A>

添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:/WINDOWS/system32/drivers/acpidisk.sys
C:/WINDOWS/System32/DRIVERS/bpjlgv91.sys
C:/WINDOWS/System32/DRIVERS/tolnfo47.sys
C:/WINDOWS/System32/DRIVERS/vilpew30.sys
C:/WINDOWS/System32/DRIVERS/ykagjt85.sys
C:/WINDOWS/system32/cewrndm.dll
C:/WINDOWS/system32/tolnfo47.dll
C:/WINDOWS/system32/vilpew30.dll
C:/WINDOWS/system32/ykagjt85.dll
C:/WINDOWS/system32/b60.dll
C:/WINDOWS/system32/ieagent.exe
C:/WINDOWS/system32/1b.dll

重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
</??/C:/WINDOWS/system32/drivers/acpidisk.sys><N/A>
[bpjlgv9 / bpjlgv91][Stopped/Boot Start]
</SystemRoot/System32/DRIVERS/bpjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
</SystemRoot/System32/DRIVERS/tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
</SystemRoot/System32/DRIVERS/vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
</SystemRoot/System32/DRIVERS/ykagjt85.sys><Microsoft Corporation>

浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:/Program Files/Common Files/CPUSH/cpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:/WINDOWS/system32/b60.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:/Documents and Settings/All Users/Application Data/Microsoft/PCTools/pctools.dll, 金泰丰(广州)科

技有限公司>

删除上述

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。

右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)

删除如下文件
C:/Program Files/Internet Explorer/PLUGINS/SystemKb.sys
C:/WINDOWS/system32/1b.dll
C:/WINDOWS/system32/48a69
C:/WINDOWS/system32/60e4.exe
C:/WINDOWS/system32/7df9.dll
C:/WINDOWS/system32/91b6.dll
C:/WINDOWS/system32/b60.dll
C:/WINDOWS/system32/bpjlgv91.dll
C:/WINDOWS/system32/df91.dll
C:/WINDOWS/system32/f91b.exe
C:/WINDOWS/system32/ieagent.exe
C:/WINDOWS/system32/mprmsgse.axz
C:/WINDOWS/system32/mscpx32r.det
C:/WINDOWS/system32/MSRundll.exe
C:/WINDOWS/system32/ntprint.dIl
C:/WINDOWS/system32/tolnfo47.dll
C:/WINDOWS/system32/tolnfo47.ini
C:/WINDOWS/system32/vilpew30.dll
C:/WINDOWS/system32/wingjt85.bin
C:/WINDOWS/system32/wingjt85.dll
C:/WINDOWS/system32/winkx.dll
C:/WINDOWS/system32/winlgv91.bin
C:/WINDOWS/system32/winpew30.bin
C:/WINDOWS/system32/winpew30.dll
C:/WINDOWS/03.bmp
C:/WINDOWS/3fa.exe
C:/WINDOWS/41115BDD.hlp
C:/WINDOWS/fa7c.txt

写完这篇分析 手都酸了 还是希望大家增强安全意识 从根源断绝此类恶性病毒的入侵




打开新窗口浏览





 

作者:newcenturymoon

来源于:http://forum.ikaka.com/topic.asp?board=28&artid=8310293

 
飘的梦
关注
专栏目录
api-ms-win-crt-runtime-|1-1-0.dll和vc_redist.x64
02-12
标题中的"api-ms-win-crt-runtime-l1-1-0.dll"是Windows操作系统中的一个关键动态链接库(DLL)文件,属于Microsoft Visual C++运行时库的一部分。它提供了许多基本的C运行时功能,包括内存分配、字符串处理、数学...
msinfo32.exe
最新发布
01-12
msinfo32
六种最可怕的病毒
幽客独往
10-26 2472
                     1、埃博拉病毒        1976年在非洲中部出现,目前尚不知从何而来。埃博拉病毒能使人体内脏破碎,感染者每个毛孔都会往外渗血。高达90%的被感染者死亡。                2、拉沙热病毒        拉沙热是由一种沙粒病毒引起的,医生们最早在20世纪50年代注意到该病毒。一旦染上这种病毒,人的内脏会大出血,血压急剧下降,脑部受损。每7个
【转载】Windows系统电脑通过命令msinfo32查看系统信息
weixin_30500473的博客
07-14 704
Windows操作系统中,可以使用msinfo32的操作命令查看操作系统相关信息,通过msinfo32命令可以查看到系统摘要,包括硬件资源、组件、软件环境等系统信息。其中系统摘要包括冲突/共享、DMA、强制硬件、I/O、IRQ、内存等几个项目信息,组件中包括多媒体、CD-ROM、声音设备、显示、红外线、输入、调制调解器、网络、端口、存储、打印、有问题的设备、USB等几项,软件环境包括系统驱动程序...
遇到了两种U盘病毒
Onedimension的博客
10-24 492
莫名的U盘就中了2次病毒,不过似乎都不是危害类的,手动解决也比较简单,网上可能由于没找到相关说明,这里简单介绍一下 1.AutoRun,可以用USBKiller检测,不过这种病毒实际上是在你U盘上模拟一个磁盘,然后把你的文件都藏在里面了。 解决方法:文件夹选项显示隐藏文件和系统文件,再把U盘一个磁盘图标内的文件(就是原U盘文件)拷贝出来,格式化U盘,再拷贝回去就可以了。 2.同目录
C21
Cinepic的博客
11-24 326
编写程序,在数列中查找某数,若该数在此数列中,则输出它所在的位置,否则输出no found。 #include&lt;stdio.h&gt; int main() { int num[5]={1,2,3,4,5},i,n; int flag=0; printf("请输入想查找的数\n"); scanf_s("%d",&amp;n); for(i=0;i&lt;n;i++) { if...
cmd后台运行exe_windows 十大实用“运行”命令
weixin_39754267的博客
11-28 1672
远程协助:这是个非常实用的功能,尤其是菜鸟,当你面对机器故障束手无策时,可以通过这个功能向Internet上的朋友的寻求帮助,让他直接在你机器上进行操作。命令:msra.exe计算机管理:这是一个集大成的管理界面,可以在此查看和配置机器的各个组件。命令:compmgmt.msc系统还原:默认情况下,机器会自动创建很多还原点,而此命令就是利用这些还原点将计算机系统还原到先前状态的。命令:rstrui...
ucrtbased.dll 32和64位
09-27
ucrtbased.dllWindows操作系统中的一个关键动态链接库(DLL)文件,属于Universal C Runtime (UCRT) 的一部分。UCRT 是微软为开发者提供的一套C运行时库,它包含了C语言编程所需的许多核心功能,如内存管理、输入/...
完整版调用系统关于窗口.rar
04-03
在IT领域,调用系统关于窗口是一个常见的任务,特别是在软件开发中,我们有时需要获取用户的系统信息,如操作系统版本、CPU信息、内存配置等。这个"完整版调用系统关于窗口.rar"压缩包可能包含了一个实现这一功能的...
U盘常见病毒或木马解决篇
边走边飞的专栏!
07-30 7032
         U盘常见病毒篇朋友们。大家使用U盘难免容易中这样的病毒。。突然有天你的磁盘打不开了。。突然你的磁盘双击后居然另外弹出窗口了。。突然有天你发现右键打开磁盘时发现有了个Auto.的自动运行命令。。突然你发现你的磁盘不能正常打开了。。必须右键选择打开。。突然某天你发现U盘下多了个文件Autorun.inf..感觉到恐慌很高兴的告诉你。。你电脑中U盘病毒拉。。你又可以来学点知识了。病毒
解析 bootstat.dat 文件,探究为什么XP知道上次系统启动失败。。。
xum2008的专栏
11-14 1万+
<br />这个周末终于有时间来搞我的还原驱动了,但是在做的过程中发现了一点问题;<br />加载驱动后,重启机器会使得XP认为系统启动失败,提示我们回到上一次的正确位置。。。<br /> <br />这是由于 bootstat.dat 这个文件造成的,用winhex 打开造成的
bootstart 列抵消 列排序 列偏移
MagicWing的博客
11-14 265
&lt;!DOCTYPE html&gt; &lt;html lang="zh-cn"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;meta http-equiv="X-UA-Compatible" content="IE=edge"&gt; &lt;meta n
关于U盘中“文件夹EXE病毒”的解决方案
Mr.X
06-10 1万+
笔者在使用U盘时,无意之间发现U盘所有文件的后缀名均变为“.exe”,经过查询相关资料,确认这是一种病毒(文件夹EXE病毒) 一、简介:木马名称:Worm.Win32.AutoRun.soq,当把U盘插入到一台电脑后,U盘内生成了以原文件夹名字命名的文件,且扩展名为exe,其原理是把原来的文件隐藏,重新生成同名的exe文件。 二、解决方案: 百度下载USBCleaner,根据软件提示进行操作即可完...
c++报错
06-14 732
--------------------------- Microsoft Visual C++ Runtime Library --------------------------- Runtime Error! Program: C:\Program Files\JiangMin\Install\KVOL.exe   This application has requested t
C++报错记录
左左张
06-21 372
复习到心态爆炸,刷一刷Leetcode提提神。 下面是我在写一个链表问题时遇到的错误,记录一下。 Error: member access within null pointer of type ‘struct ListNode’ 后来检查代码,发现是因为我把一个node的地址赋给了一个变量p,然而这个变量p实则已经是NULL了,所以报错了。...
u盘病毒解决方法 (文件夹变成exe文件)
热门推荐
weixin_39450145的博客
04-16 4万+
上机课的电脑机子有毒,u盘刚插上去,就中病毒了。文件夹都变成exe文件了。 上课就只顾杀毒,救我的u盘了。 下面是我的杀毒,挽救u盘里的文件的具体步骤(亲测好用有效!): 1,下个“火绒”安全软件(链接:https://www.huorong.cn/),然后安装,如下图。 双击下载的安装包安装。 不要用360,360扫描病毒真心巨慢。。。如下图,我扫描了一二十分钟了...
windows cmd命令msinfo32 /nfo C:\mslogs\SYSSUM.NFO/categories +systemsummary 有什么作用?
06-09
这个命令会打开“系统信息”窗口,并将系统概要信息导出到C:\mslogs\SYSSUM.NFO文件中。其中,/nfo参数指定导出文件的路径和文件名,/categories +systemsummary参数指定导出的信息类别包括系统概要信息。该命令的作用是方便管理员或用户查看和导出系统信息,以便进行故障排除或系统优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值