今天一个朋友中了这个病毒,看到了这个手工杀毒的方法,转载到这里,留待自己若是中毒了,学习!其原文地址是:http://bbs.ikaka.com/showtopic-8592261-1.aspx
作者: baohe
usp10.dll木马群的手工杀毒流程
病毒样本来自剑盟。文件大小:38.4K;MD5值:395d9da8489b15e0a201460669f45511。
这个木马群貌似是机器狗的变种,但中招后比原来的旧版机器狗难杀。原因在于:
1、此毒的驱动msiffei.sys加载后恢复SSDT,可用的工具大多失效。预先打开的IceSword,如果没有其它工具守护也会被此毒关掉。
2、此毒在非系统分区含.exe文件的所有文件夹中释放病毒程序usp10.dll(隐藏的)。这个dll貌似随explorer.exe运行。因此,中招后重装系统者(仅仅改变系统分区内容)往往出现“重装后系统依然带毒”的情形。
3、连接网络的状态下,此毒下载明目繁多的“随机数字”名(无后缀)病毒程序到当前用户临时文件夹Temp中。这些程序加载后,在%system%目录下逐一释放病毒dll(很多)。
4、此毒在%windows%/Tasks/目录下释放一个名为“1”(无后缀)的病毒文件,手工杀毒时,此文件容易被中招者忽略。
5、此毒还释放下列病毒文件:
C:/windows/fonts/ComRes.dll
C:/WINDOWS/Fonts/ctm01025.fon
C:/WINDOWS/Fonts/ctm01025.ttf
C:/WINDOWS/Fonts/ctm04004.fon
C:/WINDOWS/Fonts/ctm04004.ttf
C:/WINDOWS/Fonts/ctm07015.fon
C:/WINDOWS/Fonts/ctm07015.ttf
C:/WINDOWS/Fonts/ctm09003.fon
C:/WINDOWS/Fonts/ctm09003.ttf
C:/WINDOWS/Fonts/ctm11008.fon
C:/WINDOWS/Fonts/ctm11008.ttf
C:/WINDOWS/Fonts/ctm12004.fon
C:/WINDOWS/Fonts/ctm12004.ttf
c:/program files/internet explorer/powernent.onz
6、 此毒比较阴损,通过替换系统驱动beep.sys替换系统程序userinit.exe,还篡改win.ini文件。在中毒状态下,查看被篡改的 win.ini文件的内容——————无异常。如果中招用户仅仅将后面附表中所列的病毒文件统统删除,而忘记将这两个重要系统文件复原,那么下次系统启动 时,用户无法进入系统。
使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程:
1、先打开WINRAR,查看当前用户临时文件夹Temp、C:/WINDOWS/Fonts、C:/Program Files/Internet Explorer/等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。
2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中(图1)。
3、 用U盘从正常同类系统的电脑上拷贝C:/WINDOWS/ win.ini(改名为0.txt)以及C:/WINDOWS/system32/userinit.exe(改名为0.exe),然后,将U盘中的C: /WINDOWS/0.txt和C:/WINDOWS/system32/0.exe分别拷贝到%WINDOWS%目录和%system%目录下。
将下列内容也粘贴到上述记事本文件中:
dos#ren C:/WINDOWS/0.txt win.ini
dos#ren C:/WINDOWS/system32/0.exe userinit.exe
4、全选记事本文件的所有内容(图1),按ctrl_C。
5、打开XDELBOX,右击XDELBOX窗口,点击:“剪贴板导入不检查路径”。将病毒程序名全部导入(图2)。
6、点击“抑制再生”(图3)
7、右击XDELBOX窗口,点击“立即重启执行删除”(图4)。
系统重启后,XDELBOX进入DOS环境,逐一将导入的病毒程序删除,并将C:/WINDOWS/0.txt 改名为win.ini;将C:/WINDOWS/system32/0.exe 改名为userinit.exe。然后重启到windows系统。
8、重新进入系统后,打扫一下垃圾(清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹;图5-图13)。然后,删除病毒添加的IFEO劫持项(我这里见到的是劫持瑞星2009和迅雷)。
最后,将hosts文件中病毒添加的内容删除,保存hosts。
图5:
图6
图7
图8
图9
图10
图11
图12
图13
注意:
1、appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后,自己再重建一个,填上正常的键值即可(瑞星用户此键值是kmon.dll)
2、有中招者反映:中此毒后,系统程序ctfmon.exe和rpcss.dll被病毒替换。我这里查过,对比中招前后的这两个文件的大小和MD5,均无改变。因此,未处理这两个文件。
如果有确实证据显示这两个文件被病毒搞了,请将其复原(从dllcache目录下拷贝到system32目录下;也可从未中此毒的电脑中拷贝这两个文件到已经手工杀毒后的中招电脑中)。
————————————————————
附上我完全中招后找到的全部病毒文件列表(病毒文件名是变化的。此表仅供参考):
C:/Documents and Settings/baohelin/Local Settings/Temp/109ef1.dll
C:/Documents and Settings/baohelin/Local Settings/Temp/1157238
C:/Documents and Settings/baohelin/Local Settings/Temp/5F.tmp.bat
C:/Documents and Settings/baohelin/Local Settings/Temp/b.bat
C:/Documents and Settings/baohelin/Local Settings/Temp/WowInitcode.dat
C:/Documents and Settings/baohelin/Local Settings/Temp/wsasystem.gif
C:/Documents and Settings/baohelin/Local Settings/Temp/11231237
C:/Documents and Settings/baohelin/Local Settings/Temp/1437460
C:/Documents and Settings/baohelin/Local Settings/Temp/1518277
C:/Documents and Settings/baohelin/Local Settings/Temp/1529262
C:/WINDOWS/system32/drivers/msiffei.sys
C:/WINDOWS/system32/drivers/beep.sys
c:/windows/system32/6BB957B4.dat
c:/windows/system32/anymie360.exe
c:/windows/system32/anymie360.dll
c:/windows/system32/anymie360.ini
c:/windows/system32/jgbpepnb.dll
c:/windows/system32/jkglggoa.dll
c:/windows/system32/jaijjgib.dll
c:/windows/system32/kmkkbnkf.dll
c:/windows/system32/mnmijfnp.dll
c:/windows/system32/mcfkkald.dll
c:/windows/system32/oohelamb.dll
c:/windows/system32/bmnejfck.dll
c:/windows/system32/cpjbmhmm.dll
c:/windows/system32/dpabnlge.dll
c:/windows/system32/finhiabn.dll
c:/windows/system32/fennkeag.dll
c:/windows/system32/bmnejfck.dll
c:/windows/system32/cpjbmhmm.dll
c:/windows/system32/dpabnlge.dll
c:/windows/system32/fennkeag.dll
c:/windows/system32/finhiabn.dll
c:/windows/system32/jaijjgib.dll
c:/windows/system32/jgbpepnb.dll
c:/windows/system32/jkglggoa.dll
c:/windows/system32/kmkkbnkf.dll
c:/windows/system32/mcfkkald.dll
c:/windows/system32/mnmijfnp.dll
c:/windows/system32/ooamfhbi.dll
c:/windows/system32/oohelamb.dll
c:/program files/internet explorer/powernent.onz
c:/windows/system32/Drivers/msiffei.sys
c:/windows/system32/6bb957b4.dat
c:/windows/system32/bmnejfck.dll
C:/windows/fonts/ComRes.dll
C:/windows/Tasks/1
e:/usp10.dll
c:/windows/fonts/comres.dll
c:/windows/system32/cpjbmhmm.dll
c:/windows/system32/dpabnlge.dll
c:/windows/system32/fennkeag.dll
c:/windows/system32/finhiabn.dll
c:/windows/system32/jaijjgib.dll
c:/windows/system32/jkglggoa.dll
c:/windows/system32/kmkkbnkf.dll
c:/windows/system32/mcfkkald.dll
c:/windows/system32/mnmijfnp.dll
c:/windows/system32/ooamfhbi.dll
c:/windows/system32/oohelamb.dll
C:/WINDOWS/Fonts/ctm01025.fon
C:/WINDOWS/Fonts/ctm01025.ttf
C:/WINDOWS/Fonts/ctm04004.fon
C:/WINDOWS/Fonts/ctm04004.ttf
C:/WINDOWS/Fonts/ctm07015.fon
C:/WINDOWS/Fonts/ctm07015.ttf
C:/WINDOWS/Fonts/ctm09003.fon
C:/WINDOWS/Fonts/ctm09003.ttf
C:/WINDOWS/Fonts/ctm11008.fon
C:/WINDOWS/Fonts/ctm11008.ttf
C:/WINDOWS/Fonts/ctm12004.fon
C:/WINDOWS/Fonts/ctm12004.ttf
C:/WINDOWS/Fonts/CtmRes.dll
附件就是XDELBOX 1.8 ,无密码。
附件: XDELBOX.rar http://bbs.ikaka.com/attachment.aspx?attachmentid=483885
1113
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
