目前我见过的最厉害的病毒
作者:NetFox 日期:2007-07-11
今天去维修电脑,发现该电脑运行其他程序都没事,但是运行SRENG 卡卡 360等所有反病毒 反流氓软件都不能运行,甚至打开360 RAV等文件夹,都会自动关闭,所有隐藏文件查看不了,修改注册表后马上被修改回来,运行Process Explorer不能运行,必须把主程序改名才能运行,但是运行后最多一分多钟就自动关闭,把360 卡卡 SRENG主程序改名无法运行,运行Process Explorer后,在很短的时间内发现无可疑进程,无可疑服务,后运行AUTORUNS(也是把主程序改名)才能运行,发现RAV SRENG等在注册表里的映像HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options全部指向了c:\program files\common files\microsoft shared\msinfo\c612af01.dat的隐藏文件,在WINDOWS下COPY ATTRIB。EXE到该目录下,重起进入纯DOS,发现ATTRIB。EXE已经被删除,只好再重起,光盘引导进入纯DOS,重新COPY ATTRIB。EXE 这下才可删除c612af01.dat文件了,以为这下正常了,进入WINDOWS下后,SRENG 360等还是打不开,把主程序改名后,这下可以正常运行了,修复了启动项,修复了隐藏文件,想把其他的相关的病毒文件删除,结果打开一个文件夹,却发现硬盘狂响,该病毒又自动产生了,又和没修一样的了,郁闷至极!
分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat
监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复
删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
使得显示不了隐藏文件
释放8668122F.exe和autorun.inf到除系统分区外的其他分区
然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:\WINDOWS\system\20290.exe
C:\WINDOWS\system\ad1309.exe
C:\WINDOWS\system\DiskFree_hy1.5.exe
C:\WINDOWS\system\dodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\tolnfo47.sys
C:\WINDOWS\system32\drivers\vilpew30.sys
C:\WINDOWS\system32\drivers\ykagjt85.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free
下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html(里面有下载地址)
首先用Xdelbox 删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名
打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe这项以外 全部删除
删除后 sreng就可以运行咯
打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式
打开sreng
启动项目 注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:\WINDOWS\system32\ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:\WINDOWS\system32\60e4.exe><N/A>
添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.sys
C:\WINDOWS\System32\DRIVERS\tolnfo47.sys
C:\WINDOWS\System32\DRIVERS\vilpew30.sys
C:\WINDOWS\System32\DRIVERS\ykagjt85.sys
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\1b.dll
重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv9 / bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ykagjt85.sys><Microsoft Corporation>
浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:\WINDOWS\system32\b60.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
删除上述
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)
删除如下文件
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
写完这篇分析 手都酸了 还是希望大家增强安全意识 从根源断绝此类恶性病毒的入侵
分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat
监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复
删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
使得显示不了隐藏文件
释放8668122F.exe和autorun.inf到除系统分区外的其他分区
然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:\WINDOWS\system\20290.exe
C:\WINDOWS\system\ad1309.exe
C:\WINDOWS\system\DiskFree_hy1.5.exe
C:\WINDOWS\system\dodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\tolnfo47.sys
C:\WINDOWS\system32\drivers\vilpew30.sys
C:\WINDOWS\system32\drivers\ykagjt85.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free
下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html(里面有下载地址)
首先用Xdelbox 删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名
打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe这项以外 全部删除
删除后 sreng就可以运行咯
打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式
打开sreng
启动项目 注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:\WINDOWS\system32\ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:\WINDOWS\system32\60e4.exe><N/A>
添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.sys
C:\WINDOWS\System32\DRIVERS\tolnfo47.sys
C:\WINDOWS\System32\DRIVERS\vilpew30.sys
C:\WINDOWS\System32\DRIVERS\ykagjt85.sys
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\1b.dll
重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv9 / bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ykagjt85.sys><Microsoft Corporation>
浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:\WINDOWS\system32\b60.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
删除上述
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)
删除如下文件
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjhome.net" target="_blank">pjhome.net" target="_blank">pjhome.net" target="_blank">pjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
写完这篇分析 手都酸了 还是希望大家增强安全意识 从根源断绝此类恶性病毒的入侵
上一篇: 
下一篇: 
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 0 | 引用: -1 | 查看次数: -
发表评论