返回信息流遇到了最牛逼的病毒,实在是没办法处理了只好备份数据之后全盘格式化重装
后来看到有人说放在接上硬盘会感染……还好备份是在光盘系统winPE下进行的,然后先手动找了一下,直接发现D盘中有病毒文件,备份后删除~~再在光盘系统下进行杀毒……用了9个杀软~~确认数据中没病毒了才导回去的。
不过再牛的病毒也有解决办法的,下面是我在霏凡论坛找到的病毒分析与解决办法:
一个坏事做绝的U盘病毒
本帖被 kkllmnmn 执行加亮操作(2007-05-15)
原创非首发 http://hi.baidu.com/newcenturysu ... 56164443a9ada0.html 转贴请注明
最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下
可以说 能用到的手段都用到了
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat
监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复
删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
使得显示不了隐藏文件
释放8668122F.exe和autorun.inf到除系统分区外的其他分区
然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:\WINDOWS\system\20290.exe
C:\WINDOWS\system\ad1309.exe
C:\WINDOWS\system\DiskFree_hy1.5.exe
C:\WINDOWS\system\dodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\tolnfo47.sys
C:\WINDOWS\system32\drivers\vilpew30.sys
C:\WINDOWS\system32\drivers\ykagjt85.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free
下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/teyqiu/blog/ ... f3b5eece1b3e5a.html(里面有下载地址)
首先用Xdelbox 删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名
打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe这项以外 全部删除
删除后 sreng就可以运行咯
打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式
打开sreng
启动项目 注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:\WINDOWS\system32\ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:\WINDOWS\system32\60e4.exe><N/A>
添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\bpjlgv91.sys
C:\WINDOWS\System32\DRIVERS\tolnfo47.sys
C:\WINDOWS\System32\DRIVERS\vilpew30.sys
C:\WINDOWS\System32\DRIVERS\ykagjt85.sys
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\1b.dll
重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[bpjlgv9 / bpjlgv91][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\bpjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ykagjt85.sys><Microsoft Corporation>
浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:\WINDOWS\system32\b60.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
删除上述
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)
删除如下文件
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
写完这篇分析 手都酸了 还是希望大家增强安全意识 从根源断绝此类恶性病毒的入侵
病毒在下面这个包里面,想分析的人拿去吧~~
千万别轻易尝试!
附件(557.9KB) virus_backup.rar
这是一条镜像帖。来源:北邮人论坛 / security / #11436同步于 2007/6/2
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
发一个自己遇到的最牛的病毒
cattlebull
2007/6/2镜像同步20 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
另一个解决的帖子
来自360安全论坛
与我遇见的最强木马斗争经过,最终获胜
(我2天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:
现状
1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);
2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!
3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项
;
4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......
分析:
由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。
进入C:\WINDOWS,C:\WINDOWS\system32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。
顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。
然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。
斗争:
1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在
[HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了
同时在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options]下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。
2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。
3.重启,以为大功告成,但是发现症状依旧!
看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)
最终办法:
1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)
2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。
3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。
后记:
写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的
机器情况一定不同,只要按正确的思路,一定可以战胜病毒。
最近看见好多人都说这个症状,正好自己也遇到过,发上来给大家分享一下~~
PS:中毒的是同学的电脑,不是我的……
那个病毒在我这里解压之后微点就会提示病毒要求删除的
结束进程功能表示怀疑,
目前还没有发现不进入ring0就可以结束像kis这类进程的ring3病毒,
kis hook了ssdt中的NtTerminateProcess等N多内核函数,连ssdt表都是自己分配内存并初始化的,不知道有没有人装了kis开了全部功能的人还中这种东西的.
【 在 cattlebull (犇魔王℡) 的大作中提到: 】
: 遇到了最牛逼的病毒,实在是没办法处理了只好备份数据之后全盘格式化重装
: 后来看到有人说放在接上硬盘会感染……还好备份是在光盘系统winPE下进行的,然后先手动找了一下,直接发现D盘中有病毒文件,备份后删除~~再在光盘系统下进行杀毒……用了9个杀软~~确认数据中没病毒了才导回去的。
: 不过再牛的病毒也有解决办法的,下面是我在霏凡论坛找到的病毒分析与解决办法:
: ...................
【 在 flyingkisser 的大作中提到: 】
: 结束进程功能表示怀疑,
: 目前还没有发现不进入ring0就可以结束像kis这类进程的ring3病毒,
: kis hook了ssdt中的NtTerminateProcess等N多内核函数,连ssdt表都是自己分配内存并初始化的,不知道有没有人装了kis开了全部功能的人还中这种东西的.
嗯,我现在不用杀软了,只装个HIPS软件,反正都是强J系统,那就让丫来得更猛烈些吧....
我用卡巴开了自我保护的话,至少卡巴不会被干掉,看了监控的话,中都中不了
在给别人杀毒的时候,只要做一件事就可以,那就是给工具改名,然后这个病毒就和普通病毒一样了