- clc1
-
病毒导致进安全模式蓝屏(不可装杀毒软件)2007年08月01日 星期三 13:04主要特点
1.破坏安全模式
2.不能显示隐藏文件
3.结束常见杀毒软件以及常用杀毒工具进程
4.监控窗口
5.IFEO映像劫持
6.可以通过移动存储传播
下面就具体分析一下这个病毒
File: 8668122F.exe
Size: 35912 bytes
MD5: 394A70F8591EAF1C3D1B0F85C45D3767
SHA1: 9A04503D5850F130CA619923E816C0FF4DBE9910
CRC32: 9B70F042
加壳方式 UPX
病毒文件名应该是一个随机的8个数字和字母组成的组合
更加增加了 查杀的难度
病毒运行后
在C:Program FilesCommon FilesMicrosoft SharedMSInfo下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件
我这里是C:Program FilesCommon FilesMicrosoft SharedMSInfo41115BDD.dll
该dll插入Explorer进程
结束(包括但不限于)以下进程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常见的杀毒软件和一些安全工具都被他干掉了
然后将这些exe通过IFEO进行映像劫持 指向c:program filescommon filesmicrosoft sharedmsinfo41115bdd.dat
监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭
木马
木马
病毒
杀毒
杀毒
查毒
防毒
反病毒
专杀
专杀
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
杀软
防骇
以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:Program FilesCommon FilesMicrosoft SharedMSInfo41115BDD.dll操作的
比熊猫更狠 让你找不到进程咯
然后在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:Program FilesCommon FilesMicrosoft SharedMSINFO41115BDD.dll> [N/A]
达到开机启动目的
而且那个dll会监控这个注册表项目 如果被删除则立即恢复
删除键
HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue值为0x00000000
使得显示不了隐藏文件
释放8668122F.exe和autorun.inf到除系统分区外的其他分区
然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹
自解压文件释放C:WINDOWSsystem20290.exe
C:WINDOWSsystemad1309.exe
C:WINDOWSsystemDiskFree_hy1.5.exe
C:WINDOWSsystemdodolook027.exe等文件
这里面有驱动木马 也有流氓软件
所有的文件都运行后
添加了如下文件
C:WINDOWSsystem32driversacpidisk.sys
C:WINDOWSsystem32drivers olnfo47.sys
C:WINDOWSsystem32driversvilpew30.sys
C:WINDOWSsystem32driversykagjt85.sys
C:WINDOWSsystem321b.dll
C:WINDOWSsystem3248a69
C:WINDOWSsystem3260e4.exe
C:WINDOWSsystem327df9.dll
C:WINDOWSsystem3291b6.dll
C:WINDOWSsystem3260.dll
C:WINDOWSsystem32pjlgv91.dll
C:WINDOWSsystem32df91.dll
C:WINDOWSsystem32f91b.exe
C:WINDOWSsystem32ieagent.exe
C:WINDOWSsystem32mprmsgse.axz
C:WINDOWSsystem32mscpx32r.det
C:WINDOWSsystem32MSRundll.exe
C:WINDOWSsystem32 tprint.dIl
C:WINDOWSsystem32 olnfo47.dll
C:WINDOWSsystem32 olnfo47.ini
C:WINDOWSsystem32vilpew30.dll
C:WINDOWSsystem32wingjt85.bin
C:WINDOWSsystem32wingjt85.dll
C:WINDOWSsystem32winkx.dll
C:WINDOWSsystem32winlgv91.bin
C:WINDOWSsystem32winpew30.bin
C:WINDOWSsystem32winpew30.dll
C:WINDOWSsystem32ykagjt85.dll
C:WINDOWSsystem32cewrndm.dll
C:WINDOWSsystem32 olnfo47.dll
C:WINDOWSsystem32vilpew30.dll
C:WINDOWSsystem3260.dll
C:WINDOWS 3.bmp
C:WINDOWS3fa.exe
C:WINDOWS41115BDD.hlp
C:WINDOWSfa7c.txt
C:Program FilesInternet ExplorerPLUGINSsystem2.jmp
C:Program FilesInternet ExplorerPLUGINSSystemKb.sys
还装了两个软件 一个是adpush software 一个是disk free
下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件
首先用Xdelbox 删除C:Program FilesCommon FilesMicrosoft SharedMSInfo41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名
打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation
c:windowssystem32 tsd.exe这项以外 全部删除
删除后 sreng就可以运行咯
打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式
打开sreng
启动项目 注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:Program FilesCommon FilesMicrosoft SharedMSINFO41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:WINDOWSsystem32ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:WINDOWSsystem3260e4.exe><N/A>
添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:WINDOWSsystem32driversacpidisk.sys
C:WINDOWSSystem32DRIVERSpjlgv91.sys
C:WINDOWSSystem32DRIVERS olnfo47.sys
C:WINDOWSSystem32DRIVERSvilpew30.sys
C:WINDOWSSystem32DRIVERSykagjt85.sys
C:WINDOWSsystem32cewrndm.dll
C:WINDOWSsystem32 olnfo47.dll
C:WINDOWSsystem32vilpew30.dll
C:WINDOWSsystem32ykagjt85.dll
C:WINDOWSsystem3260.dll
C:WINDOWSsystem32ieagent.exe
C:WINDOWSsystem321b.dll
重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<??C:WINDOWSsystem32driversacpidisk.sys><N/A>
[bpjlgv9 / bpjlgv91][Stopped/Boot Start]
<SystemRootSystem32DRIVERSpjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
<SystemRootSystem32DRIVERS olnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
<SystemRootSystem32DRIVERSvilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
<SystemRootSystem32DRIVERSykagjt85.sys><Microsoft Corporation>
浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:Program FilesCommon FilesCPUSHcpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:WINDOWSsystem3260.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:Documents and SettingsAll UsersApplication DataMicrosoftPCToolspctools.dll, 金泰丰(广州)科
技有限公司>
删除上述
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)
删除如下文件
C:Program FilesInternet ExplorerPLUGINSSystemKb.sys
C:WINDOWSsystem321b.dll
C:WINDOWSsystem3248a69
C:WINDOWSsystem3260e4.exe
C:WINDOWSsystem327df9.dll
C:WINDOWSsystem3291b6.dll
C:WINDOWSsystem3260.dll
C:WINDOWSsystem32pjlgv91.dll
C:WINDOWSsystem32df91.dll
C:WINDOWSsystem32f91b.exe
C:WINDOWSsystem32ieagent.exe
C:WINDOWSsystem32mprmsgse.axz
C:WINDOWSsystem32mscpx32r.det
C:WINDOWSsystem32MSRundll.exe
C:WINDOWSsystem32 tprint.dIl
C:WINDOWSsystem32 olnfo47.dll
C:WINDOWSsystem32 olnfo47.ini
C:WINDOWSsystem32vilpew30.dll
C:WINDOWSsystem32wingjt85.bin
C:WINDOWSsystem32wingjt85.dll
C:WINDOWSsystem32winkx.dll
C:WINDOWSsystem32winlgv91.bin
C:WINDOWSsystem32winpew30.bin
C:WINDOWSsystem32winpew30.dll
C:WINDOWS 3.bmp
C:WINDOWS3fa.exe
C:WINDOWS41115BDD.hlp
C:WINDOWSfa7c.txt
- Chen
-
重做系统。。。
不要打开任何文件
不要装别的驱动。。。
1先关闭自动打开文件 (同时打开隐藏文件)
2马上下载最新卡巴安装。。
升级。。。。
用专杀和卡巴同时杀毒。。。。
3.关闭卡巴。。。。。。下载金山 最新查杀。。。
4一般这样就差不多了!不用做ghost因为有病毒。。镜像会破坏的!
最后重启。。连续3次查杀。。一般就ok了!
AV终结者、U盘寄生虫、帕虫、随即8位数、映像劫持、IFEO、重定向劫持……也许还有其他说法,但这些所指的都是同一类病毒,其中提到频率最高的就是AV终结者和映像劫持。这类病毒可以关掉你所有的防护软件,而且你会发现,即便进入了安全模式,病毒也清除不了!
名词解释
1、AV终结者:Anti Virus killer(杀毒软件终结者)
这是一类病毒,并不是某一个具体的病毒,江民称之为“U盘寄生虫”、金山称之为“AV终结者”、瑞星称之为“帕虫”。
这是AV终结者专杀工具是金山的,管用,我用过,多杀几遍就好了~! 你中了这个木马 所有的杀毒网站都打不开,你找别的电脑下载好金山AV专杀工具存在U盘里,在插在中病毒的电脑上,在优盘里打开专杀工具 杀几遍从新启动电脑,一直杀到没病毒为止,估计杀3遍左右就没,到时候工具提示你,这个工具站内存很小优盘足够存下~!
http://www.duba.net/zhuansha/259.shtml
专杀工具网站下载地址 金山出的工具 不错
http://www.duba.net/zhuansha/259.shtml
- bikbok
-
这么牛X的病毒,我遇到过几次,但是始终没有什么好办法搞定,卡巴,趋势,mac fee都不顶用,装系统也是浪费时间!新系统装上还是会被感染!如果你一定想研究出什么杀毒软件有用的话,我给你个建议,就是做好系统后,马上设置还原点!这样不用每次中毒从光驱去重做系统,节省了一定的时间!还有就是,你装了系统后,不要去打开C盘以外的其他盘,把卡巴装在C盘,用360打完补丁,然后再杀毒!但是这样也不一定100%有效果!如果这样也不行,你用专杀工具也难搞定我试过几种专杀都不能解决!实在不行就格全盘吧!这样一定行!
- 以心消业
-
*记得一定要按步骤,否则没用*
1\运行下面软件 程序一经运行,会提示重新启动,点 是 重新启动,开机后进入查杀界面,耐心等待查杀修复完毕
2\完毕后,先不要乱动.记得以前所有安装或下载的程序都不要乱动,否则功亏一篑.
下载usb专杀 http://www.usbcleaner.cn
记得务必修复注册表和修复安全模式
3\下载WINDOWS清理助手清理木马
4\最后记得升级后到安全模式下杀毒(我用的是卡巴试用版)效果不错
着重强调 第一步查杀前卸载以前所有安装的软件 记得是所有重新下载 如果中间出现错误 从头重来 第一步后以前所有的软件都不可以运行 否则会重新激活病毒
- 出投笔记
-
恭喜你 中了“熊猫烧香”禁用所有杀毒软件,连带"杀毒"字眼的网都上不去,别的网可以上。杀毒装不了。系统重装也没有用。我是见识过了。建议:“拔掉网线,重新分区,格式化分区,重装系统,在装杀毒软件 。然后杀毒。
- tt白
-
重新格式化C盘重装系统,记住装完后,任何盘符都不要打开,直接装杀毒软件,推荐卡巴,更新倒最新版本,然后进安全模式用卡巴杀毒,一般可解决
- meira
-
可能是中了AV终结者 专杀http://www.cf91.com/soft/3546.html
http://zhuansha.duba.net/259.shtml
如果杀了 再起用你装的杀毒软件全盘杀一下 因为它会下载其他病毒
试试 祝你成功
- 再也不做站长了
-
重做系统以后不要访问除C盘以外的其它盘符
装完杀毒软件并且升完级之后再杀其它盘
切记
- 阿啵呲嘚
-
用一键还原,还原到刚买来家时的系统,之后再用,如果好了,再把所有资料备份一下,放别的盘里
- 床单格子
-
试下这个AntiVir PersonalEdition Classic,俗称小红伞。
看官网能上不。
http://www.free-av.com/en/download/index.html
pchome上的地址
http://download.pchome.net/utility/antivirus/others/12496.html
- 豆豆staR
-
如果没重要的东西在电脑里就全盘格了,再重新分区。在装系统
- 莫妮卡住了
-
不要那么麻烦的~~
只接全盘格式化在重装系统就可以了
- 苏萦
-
u盘起机,在pe下杀,不杀毒重装没用
- 左迁
-
重装系统
- CarieVinne
-
用东方微点