清除usp10.dll、psapi.dll木马群

通过所谓QQ中奖信息等欺骗用户点击从而导致中毒，关闭瑞星等杀毒软件，任务管理器中出现许多数字组合的进程，大量占用虚拟内存，电脑变慢，硬盘中同时出现很多usp10.dll文件，重装系统也不行等，360称之为犇牛木马下载器。

根据相关日志及信息，总结该木马清除方法：

1.删除以下文件：
 
c:\documents and settings\users\local settings\temp\410441
c:\documents and settings\users\local settings\temp\498598
c:\documents and settings\users\local settings\temp\523981
c:\documents and settings\users\local settings\temp\660097
c:\documents and settings\users\local settings\temp\wmsetup.dll
c:\documents and settings\users\local settings\temp\wowinitcode.dat（以上为临时文件夹中的文件，可能名字不同，仅为举例，建议将temp目录中所有文件都删除）
c:\program files\internet explorer\powernent.onz
c:\windows\fonts\ctmres.dll
c:\windows\fonts\framdee.ttf
c:\windows\system32\783dbe85.dat
c:\windows\system32\anblcfcc.dll
c:\windows\system32\anfmkpdd.dll
c:\windows\system32\anymie360.dll
c:\windows\system32\bgggodeo.dll
c:\windows\system32\bngeicjj.dll
c:\windows\system32\cboacmac.dll
c:\windows\system32\cdminlgo.dll
c:\windows\system32\coicjllg.dll
c:\windows\system32\dipncahd.dll
c:\windows\system32\dpnifihj.dll
c:\windows\system32\ejbageek.dll
c:\windows\system32\feehilgm.dll
c:\windows\system32\fhldkcon.dll
c:\windows\system32\fmelpmlj.dll
c:\windows\system32\gkoolcln.dll
c:\windows\system32\gmcfhkfl.dll
c:\windows\system32\hnidaghn.dll
c:\windows\system32\hpekfama.dll
c:\windows\system32\khniobio.dll
c:\windows\system32\kknakofe.dll
c:\windows\system32\mohmabdm.dll
c:\windows\system32\nlamapnn.dll
c:\windows\system32\ocbljnkh.dll
c:\windows\system32\oedcbnbm.dll
c:\windows\system32\onmhmica.dll
c:\windows\system32\a9a5b815.dat
c:\windows\system32\afmfbpod.dll
c:\windows\system32\aphhelnc.dll
c:\windows\system32\cpbmbhai.dll
c:\windows\system32\cpjihnkn.dll
c:\windows\system32\ejbohnoh.dll
c:\windows\system32\gmdpjeff.dll
c:\windows\system32\golpkdia.dll
c:\windows\system32\jcljhknc.dll
c:\windows\system32\jfginihd.dll
c:\windows\system32\lipnjjko.dll
c:\windows\system32\nkmldkma.dll
c:\windows\system32\nnmbdoln.dll
c:\windows\system32\paojefak.dll（以上c:\windows\system32中的病毒文件均为随机字母组合，可能不同例子有所不同）
c:\windows\system32\drivers\msiffei.sys
psapi.dll(可能存在QQ目录下）
usp10.dll（可能出现在所有硬盘分区中各个应用软件的安装目录内，需全盘搜索）

2.使用SREng修复下面各项：
 
    启动项目 －－ 注册表之如下项删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Alcmtr><anymie360.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><D:\WINDOWS\fonts\ComRes.dll cpbmbhai.dll,nkmldkma.dll,golpkdia.dll,jfginihd.dll,paojefak.dll,gmdpjeff.dll,afmfbpod.dll,aphhelnc.dll,nnmbdoln.dll,
jcljhknc.dll,lipnjjko.dll,ejbohnoh.dll,cpjihnkn.dll>（注意，此项清空<AppInit_DLLs>后面的值即可）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{52973348-F06A-4FC6-8FFA-72588B82D629}><D:\WINDOWS\system32\lipnjjko.dll> 
    <{3C53147C-1E2F-4A68-8940-8E7B58313287}><D:\WINDOWS\system32\jcljhknc.dll>
    <{776BD857-A54F-43BA-AF54-B4CFDCB6B910}><D:\WINDOWS\system32\nnmbdoln.dll>
    <{A911E57C-2651-4134-B7EA-7A8938291B07}><D:\WINDOWS\system32\aphhelnc.dll>
    <{AF6FB98D-BE98-4401-A7EE-850CE77C07D8}><D:\WINDOWS\system32\afmfbpod.dll>
    <{06D93EFF-5BD6-4AF4-ACAF-0CF122287D91}><D:\WINDOWS\system32\gmdpjeff.dll> 
    <{9A83EFA4-2999-4613-B5E2-D7D1D3A9424D}><D:\WINDOWS\system32\paojefak.dll>
    <{3F02721D-C339-4497-9084-76BD16294E43}><D:\WINDOWS\system32\jfginihd.dll> 
    <{08594D2A-E88B-4118-8303-4191508C3EAF}><D:\WINDOWS\system32\golpkdia.dll>
    <{7465D46A-FC46-4EDD-AE73-5FF459765ADC}><D:\WINDOWS\system32\nkmldkma.dll> 
    <{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><D:\Program Files\Internet Explorer\PowerNeNt.Onz> 
    <{C9B6B1A2-9194-464E-9E89-5212200BF437}><D:\WINDOWS\system32\cpbmbhai.dll>
    <{E3B81781-B477-4901-8767-48B8AE2C58C7}><D:\WINDOWS\system32\ejbohnoh.dll> 
    <{C9321747-25B1-4ECF-A3C8-1983EFBB3D02}><D:\WINDOWS\system32\cpjihnkn.dll>
    <{D297CA1D-923E-4640-A344-3CAF1CE55E9B}><C:\WINDOWS\system32\dipncahd.dll> 
    <{8EDCB7B6-42EF-4CA0-8632-207EAE9A5E01}><C:\WINDOWS\system32\oedcbnbm.dll> 
    <{D972F213-0BA9-4F7D-ADCD-5833A192DC98}><C:\WINDOWS\system32\dpnifihj.dll> 
    <{04885C57-25B2-4BA5-AC94-973078361BE7}><C:\WINDOWS\system32\gkoolcln.dll> 
    <{FEE12506-EF10-47AC-A78E-B6E1E25C84DE}><C:\WINDOWS\system32\feehilgm.dll>
    <{C82C3550-4F78-453F-9747-969EB77B8D8C}><C:\WINDOWS\system32\coicjllg.dll> 
    <{8CB53741-060D-4C88-9BE2-607AF974569B}><C:\WINDOWS\system32\ocbljnkh.dll> 
    <{B70E2C33-8181-4EC9-9B8E-A34E2FE66B03}><C:\WINDOWS\system32\bngeicjj.dll>
    <{06CF14F5-0B3E-4C44-BBA2-EFFB447EB4BD}><C:\WINDOWS\system32\gmcfhkfl.dll>
    <{172DA017-6115-4F67-8D45-63CD967FE535}><C:\WINDOWS\system32\hnidaghn.dll> 
    <{876162CA-1CF5-484A-9A40-2CF5AA941380}><C:\WINDOWS\system32\onmhmica.dll>
    <{75A6A977-B4FC-4F62-989C-30F949A9242E}><C:\WINDOWS\system32\nlamapnn.dll>
    <{B0008DE8-2042-4490-A61C-47FAF87B149B}><C:\WINDOWS\system32\bgggodeo.dll>
    <{F15D4C87-2D9F-44DD-B71E-946CA734C9A5}><C:\WINDOWS\system32\fhldkcon.dll> 
    <{A7B5CFCC-AEDD-42A5-A1AA-56984530D9F4}><C:\WINDOWS\system32\anblcfcc.dll>
    <{447A48FE-7C88-4B78-8219-4F92131D4411}><C:\WINDOWS\system32\kknakofe.dll> 
    <{19E4FA6A-5190-4D15-A0EB-665997F7728A}><C:\WINDOWS\system32\hpekfama.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <52973348><D:\WINDOWS\system32\lipnjjko.dll> 
    <3C53147C><D:\WINDOWS\system32\jcljhknc.dll> 
    <776BD857><D:\WINDOWS\system32\nnmbdoln.dll> 
    <A911E57C><D:\WINDOWS\system32\aphhelnc.dll> 
    <AF6FB98D><D:\WINDOWS\system32\afmfbpod.dll> 
    <06D93EFF><D:\WINDOWS\system32\gmdpjeff.dll> 
    <9A83EFA4><D:\WINDOWS\system32\paojefak.dll>
    <3F02721D><D:\WINDOWS\system32\jfginihd.dll> 
    <08594D2A><D:\WINDOWS\system32\golpkdia.dll> 
    <7465D46A><D:\WINDOWS\system32\nkmldkma.dll> 
    <C9B6B1A2><D:\WINDOWS\system32\cpbmbhai.dll> 
    <E3B81781><D:\WINDOWS\system32\ejbohnoh.dll> 
    <C9321747><D:\WINDOWS\system32\cpjihnkn.dll>
    <D297CA1D><C:\WINDOWS\system32\dipncahd.dll>
    <8EDCB7B6><C:\WINDOWS\system32\oedcbnbm.dll> 
    <D972F213><C:\WINDOWS\system32\dpnifihj.dll>
    <04885C57><C:\WINDOWS\system32\gkoolcln.dll> 
    <FEE12506><C:\WINDOWS\system32\feehilgm.dll> 
    <C82C3550><C:\WINDOWS\system32\coicjllg.dll> 
    <8CB53741><C:\WINDOWS\system32\ocbljnkh.dll> 
    <B70E2C33><C:\WINDOWS\system32\bngeicjj.dll>
    <06CF14F5><C:\WINDOWS\system32\gmcfhkfl.dll>
    <172DA017><C:\WINDOWS\system32\hnidaghn.dll> 
    <876162CA><C:\WINDOWS\system32\onmhmica.dll>
    <75A6A977><C:\WINDOWS\system32\nlamapnn.dll> 
    <B0008DE8><C:\WINDOWS\system32\bgggodeo.dll>
    <F15D4C87><C:\WINDOWS\system32\fhldkcon.dll> 
    <A7B5CFCC><C:\WINDOWS\system32\anblcfcc.dll>
    <447A48FE><C:\WINDOWS\system32\kknakofe.dll> 
    <19E4FA6A><C:\WINDOWS\system32\hpekfama.dll> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
  [CCenter.exe]   
  [RavMon.exe]   
  [RavMonD.exe]   
  [RavTask.exe]   
  [rfwmain.exe]   
  [RfwSrv.exe]   
  [Thunder5.exe]  

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[Safe Mon 360 / SafeMon0]    <\??\D:\WINDOWS\system32\A9A5B815.dat>（有时是C:\WINDOWS\system32\783DBE85.dat）
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
 
    系统修复－－　浏览器加载项之如下项删除：
[]    <D:\Program Files\Internet Explorer\PowerNeNt.Onz>

3.该木马群会感染如下系统文件（需要用正常文件覆盖被感染文件修复）：

C:\WINDOWS\system32\userinit.exe
c:\WINDOWS\system32\ctfmon.exe
c:\windows\system32\rpcss.dll
c:\WINDOWS\System32\comres.dll
 

c:\windows\system32\usp10.dll
c:\windows\system32\psapi.dll（这两个是正常文件usp10.dll与psapi.dll所在的位置，其余地方出现的才是病毒）

4.除清理临时文件夹temp外，建议也同时删除IE缓存，可以用冰刃直接进入IE缓存文件夹中删除，或IE－工具internet选项－删除文件－删除所有脱机文件（IE6）、IE－工具－internet选项－浏览历史纪录－删除文件－全部删除－也删除由加载项存储的文件和设置（IE7）

5.使用windows清理助手清理，升级杀毒软件全盘扫描，另可参考与下载usp10.dll和psapi.dll清理工具或360顽固木马专杀大全。

2月8日补充：“usp10.dll”木马病毒（又称猫癣、犇牛病毒）

>> 除非说明均为原创，如转载请注明来源于http://www.stormcn.cn/post/229.html

Tags: 文件  病毒 木马  

作者:流风33 | 分类:

病毒救援

| 评论:0 | 浏览: