今天公司电脑中了个很妖怪的病毒,基本特征是自动关闭QQ,msn,浏览器;禁止运行,安装任何杀毒软件;格式化系统盘没有效果!
忙活了一整天都没有效果,而且办公室的同仁也陆续感染,最后怀疑u盘是传播渠道。由于工作忙碌,一直没有时间去研究这个病毒,回家后就一直在网上搜索相关的资料,最后将目标聚焦在“随机八位病毒”
一下是相关资料和解决方式,明天去公司试验下
“随机8位数字病毒”,破坏行为如下:
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持(打开一些正常应用程序时被映射到打开病毒文件)
解决办法如下:
1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是:打开winrar.exe
工具 查看文件
在上面的地址栏中 进入c:\program files\common files\microsoft shared\msinfo目录
(如图1)
我这台被感染的电脑的文件名为41115bdd.dll
2.使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件
具体使用方法见http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html(里面有下载地址)
重起机器后
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件 hxxp://ww.skycn.com/soft/17567.html
由于这个软件也被映像劫持了 所以我们随便把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft
Corporation c:\windows\system32\ntsd.exe
以外的所有项目
4.此时我们就可以打开sreng了 呵呵
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
5.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
好了 此时病毒对于我们的所有限制已经解除了
下面就是清除其下载的木马了
重起机器 进入安全模式
打开sreng 启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe,
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[CelInDrv / CelInDrv][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys>
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件
(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat(随机8位数字字母组合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm(随机8位数字字母组合)
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\41115BDD.hlp(随机8位数字字母组合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话)
还是用winrar 删除各个分区下的autorun.inf和 41115BDD.exe(随机8位数字字母组合)
一定不要双击 最好的方法是用winrar看
============================================================
这个Autorun.inf很恶心
最近中的人很多!下面提供一个快速的参考方法:
第一步:系统还原或者重新安装系统
第二步:使用搜索文件或文件夹功能,分别搜索AutoRun.inf oobtwtr.exe 两个文件,使用Unlocker直接在搜索结果中将两个文件一一分别删除!
第三步:重启计算机 OK了
注意:在系统恢复后,不要打开其他分区,"使用搜索文件或文件夹功能"也正是这个目的
============================================================