淄博学校网站建设定制,邱县网站建设,宣讲家网站支部建设,老河口建设局网站今天一个朋友中了这个病毒#xff0c;看到了这个手工杀毒的方法#xff0c;转载到这里#xff0c;留待自己若是中毒了#xff0c;学习#xff01;其原文地址是#xff1a;http://bbs.ikaka.com/showtopic-8592261-1.aspx
作者#xff1a; baohe usp10.dll木马群的手工杀…今天一个朋友中了这个病毒看到了这个手工杀毒的方法转载到这里留待自己若是中毒了学习其原文地址是http://bbs.ikaka.com/showtopic-8592261-1.aspx
作者 baohe usp10.dll木马群的手工杀毒流程 病毒样本来自剑盟。文件大小38.4KMD5值395d9da8489b15e0a201460669f45511。这个木马群貌似是机器狗的变种但中招后比原来的旧版机器狗难杀。原因在于1、此毒的驱动msiffei.sys加载后恢复SSDT可用的工具大多失效。预先打开的IceSword如果没有其它工具守护也会被此毒关掉。 2、此毒在非系统分区含.exe文件的所有文件夹中释放病毒程序usp10.dll隐藏的。这个dll貌似随explorer.exe运行。因此中招后重装系统者仅仅改变系统分区内容往往出现“重装后系统依然带毒”的情形。3、连接网络的状态下此毒下载明目繁多的“随机数字”名无后缀病毒程序到当前用户临时文件夹Temp中。这些程序加载后在%system%目录下逐一释放病毒dll很多。4、此毒在%windows%/Tasks/目录下释放一个名为“1”无后缀的病毒文件手工杀毒时此文件容易被中招者忽略。5、此毒还释放下列病毒文件C:/windows/fonts/ComRes.dllC:/WINDOWS/Fonts/ctm01025.fonC:/WINDOWS/Fonts/ctm01025.ttfC:/WINDOWS/Fonts/ctm04004.fonC:/WINDOWS/Fonts/ctm04004.ttfC:/WINDOWS/Fonts/ctm07015.fonC:/WINDOWS/Fonts/ctm07015.ttfC:/WINDOWS/Fonts/ctm09003.fonC:/WINDOWS/Fonts/ctm09003.ttfC:/WINDOWS/Fonts/ctm11008.fonC:/WINDOWS/Fonts/ctm11008.ttfC:/WINDOWS/Fonts/ctm12004.fonC:/WINDOWS/Fonts/ctm12004.ttf c:/program files/internet explorer/powernent.onz6、 此毒比较阴损通过替换系统驱动beep.sys替换系统程序userinit.exe还篡改win.ini文件。在中毒状态下查看被篡改的 win.ini文件的内容——————无异常。如果中招用户仅仅将后面附表中所列的病毒文件统统删除而忘记将这两个重要系统文件复原那么下次系统启动 时用户无法进入系统。使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程1、先打开WINRAR查看当前用户临时文件夹Temp、C:/WINDOWS/Fonts、C:/Program Files/Internet Explorer/等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中图1。3、 用U盘从正常同类系统的电脑上拷贝C:/WINDOWS/ win.ini改名为0.txt以及C:/WINDOWS/system32/userinit.exe改名为0.exe然后将U盘中的C: /WINDOWS/0.txt和C:/WINDOWS/system32/0.exe分别拷贝到WINDOWS目录和system目录下。将下列内容也粘贴到上述记事本文件中dos#ren C:/WINDOWS/0.txt win.inidos#ren C:/WINDOWS/system32/0.exe userinit.exe4、全选记事本文件的所有内容图1按ctrl_C。 1.jpg (295.19 K) 2009-1-28 22:57:28 5、打开XDELBOX右击XDELBOX窗口点击“剪贴板导入不检查路径”。将病毒程序名全部导入图2。 2.jpg (51.61 K) 2009-1-28 22:57:28 6、点击“抑制再生”图3 3.jpg (68.30 K) 2009-1-28 22:57:28 7、右击XDELBOX窗口点击“立即重启执行删除”图4。 4.jpg (70.32 K) 2009-1-28 22:57:28 系统重启后XDELBOX进入DOS环境逐一将导入的病毒程序删除并将C:/WINDOWS/0.txt 改名为win.ini将C:/WINDOWS/system32/0.exe 改名为userinit.exe。然后重启到windows系统。 8、重新进入系统后打扫一下垃圾清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹图5图13。然后删除病毒添加的IFEO劫持项我这里见到的是劫持瑞星2009和迅雷。最后将hosts文件中病毒添加的内容删除保存hosts。图5 5.jpg (117.33 K) 2009-1-28 23:00:03 图6 6.jpg (112 K) 2009-1-28 23:00:03 图7 7.jpg (80.92 K) 2009-1-28 23:00:03 图8 8.jpg (101.34 K) 2009-1-28 23:00:03 图9 9.jpg (86.98 K) 2009-1-28 23:00:03 图10 10.jpg (109.92 K) 2009-1-28 23:00:03 图11 11.jpg (76.18 K) 2009-1-28 23:00:03 图12 12.jpg (167.46 K) 2009-1-28 23:00:03 图13 注意1、appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后自己再重建一个填上正常的键值即可瑞星用户此键值是kmon.dll2、有中招者反映中此毒后系统程序ctfmon.exe和rpcss.dll被病毒替换。我这里查过对比中招前后的这两个文件的大小和MD5均无改变。因此未处理这两个文件。如果有确实证据显示这两个文件被病毒搞了请将其复原从dllcache目录下拷贝到system32目录下也可从未中此毒的电脑中拷贝这两个文件到已经手工杀毒后的中招电脑中。————————————————————附上我完全中招后找到的全部病毒文件列表病毒文件名是变化的。此表仅供参考C:/Documents and Settings/baohelin/Local Settings/Temp/109ef1.dllC:/Documents and Settings/baohelin/Local Settings/Temp/1157238C:/Documents and Settings/baohelin/Local Settings/Temp/5F.tmp.batC:/Documents and Settings/baohelin/Local Settings/Temp/b.batC:/Documents and Settings/baohelin/Local Settings/Temp/WowInitcode.datC:/Documents and Settings/baohelin/Local Settings/Temp/wsasystem.gifC:/Documents and Settings/baohelin/Local Settings/Temp/11231237C:/Documents and Settings/baohelin/Local Settings/Temp/1437460C:/Documents and Settings/baohelin/Local Settings/Temp/1518277C:/Documents and Settings/baohelin/Local Settings/Temp/1529262C:/WINDOWS/system32/drivers/msiffei.sysC:/WINDOWS/system32/drivers/beep.sysc:/windows/system32/6BB957B4.datc:/windows/system32/anymie360.exec:/windows/system32/anymie360.dllc:/windows/system32/anymie360.inic:/windows/system32/jgbpepnb.dllc:/windows/system32/jkglggoa.dllc:/windows/system32/jaijjgib.dllc:/windows/system32/kmkkbnkf.dllc:/windows/system32/mnmijfnp.dllc:/windows/system32/mcfkkald.dllc:/windows/system32/oohelamb.dllc:/windows/system32/bmnejfck.dllc:/windows/system32/cpjbmhmm.dllc:/windows/system32/dpabnlge.dllc:/windows/system32/finhiabn.dllc:/windows/system32/fennkeag.dllc:/windows/system32/bmnejfck.dllc:/windows/system32/cpjbmhmm.dllc:/windows/system32/dpabnlge.dllc:/windows/system32/fennkeag.dllc:/windows/system32/finhiabn.dllc:/windows/system32/jaijjgib.dllc:/windows/system32/jgbpepnb.dllc:/windows/system32/jkglggoa.dllc:/windows/system32/kmkkbnkf.dllc:/windows/system32/mcfkkald.dllc:/windows/system32/mnmijfnp.dllc:/windows/system32/ooamfhbi.dllc:/windows/system32/oohelamb.dllc:/program files/internet explorer/powernent.onzc:/windows/system32/Drivers/msiffei.sysc:/windows/system32/6bb957b4.datc:/windows/system32/bmnejfck.dllC:/windows/fonts/ComRes.dllC:/windows/Tasks/1e:/usp10.dllc:/windows/fonts/comres.dllc:/windows/system32/cpjbmhmm.dllc:/windows/system32/dpabnlge.dllc:/windows/system32/fennkeag.dllc:/windows/system32/finhiabn.dllc:/windows/system32/jaijjgib.dllc:/windows/system32/jkglggoa.dllc:/windows/system32/kmkkbnkf.dllc:/windows/system32/mcfkkald.dllc:/windows/system32/mnmijfnp.dllc:/windows/system32/ooamfhbi.dllc:/windows/system32/oohelamb.dllC:/WINDOWS/Fonts/ctm01025.fonC:/WINDOWS/Fonts/ctm01025.ttfC:/WINDOWS/Fonts/ctm04004.fonC:/WINDOWS/Fonts/ctm04004.ttfC:/WINDOWS/Fonts/ctm07015.fonC:/WINDOWS/Fonts/ctm07015.ttfC:/WINDOWS/Fonts/ctm09003.fonC:/WINDOWS/Fonts/ctm09003.ttfC:/WINDOWS/Fonts/ctm11008.fonC:/WINDOWS/Fonts/ctm11008.ttfC:/WINDOWS/Fonts/ctm12004.fonC:/WINDOWS/Fonts/ctm12004.ttfC:/WINDOWS/Fonts/CtmRes.dll附件就是XDELBOX 1.8 无密码。
附件: XDELBOX.rar http://bbs.ikaka.com/attachment.aspx?attachmentid483885
