同事的电脑(因为系统是win2000,所以下面的系统目录是c:\winnt,如果是xp,就是c:\windows)启动后进不了桌面,只有一个光光的桌布显示。
按ctrl+alt+del可以启动任务管理器,从任务管理器的菜单“文件”-“新建任务”-输入explorer.exe-确定,可以进入桌面。然后运行SREng扫描日志。经检查,发现下面可疑项目进行清理:
******************************
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<zhqbdf><rundll32.exe C:\WINNT\system\zhqbdf080101.dll mymain> [N/A]
<zsms><rundll32.exe C:\WINNT\system32\mcdsrv16_080101.dll start> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINNT\system32\userinit.exe,> [] (这个等会再说,一开始还真没注意到它)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll> [Microsoft Corporation]
<{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINNT\system32\qhdoor0.dll> []
下面的都是注册表的映像劫持项,具体的也下面说
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
[IFEO[033.exe]] <C:\windows\system32\svchost.exe>
[IFEO[1068.exe]] <C:\windows\system32\svchost.exe>
[IFEO[133c010.exe]] <C:\windows\system32\svchost.exe>
[IFEO[3fa1.exe]] <C:\windows\system32\svchost.exe>
[IFEO[60e41.exe]] <C:\windows\system32\svchost.exe>
[IFEO[a.exe]] <C:\windows\system32\svchost.exe>
[IFEO[ad6421.exe]] <C:\windows\system32\svchost.exe>
[IFEO[aimi008.exe]] <C:\windows\system32\svchost.exe>
[IFEO[an006.exe]] <C:\windows\system32\svchost.exe>
[IFEO[avwghst.exe]] <C:\windows\system32\svchost.exe>
[IFEO[avzxmst.exe]] <C:\windows\system32\svchost.exe>
[IFEO[cns.exe]] <C:\windows\system32\svchost.exe>
[IFEO[d03.exe]] <C:\windows\system32\svchost.exe>
[IFEO[d39.exe]] <C:\windows\system32\svchost.exe>
[IFEO[DelMI2345.exe]] <C:\windows\system32\svchost.exe>
[IFEO[dms.exe]] <C:\windows\system32\svchost.exe>
[IFEO[dns.exe]] <C:\windows\system32\svchost.exe>
[IFEO[dodolook573.exe]] <C:\windows\system32\svchost.exe>
[IFEO[dodolook7529.exe]] <C:\windows\system32\svchost.exe>
[IFEO[FirefoxGoogleToolbarSetup.exe]] <C:\windows\system32\svchost.exe>
[IFEO[gjfhazc.exe]] <C:\windows\system32\svchost.exe>
[IFEO[gjtmazc.exe]] <C:\windows\system32\svchost.exe>
[IFEO[GLF49.tmp.exe]] <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_a.exe]] <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_b.exe]] <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_c.exe]] <C:\windows\system32\svchost.exe>
[IFEO[host.exe]] <C:\windows\system32\svchost.exe>
[IFEO[kafykaz.exe]] <C:\windows\system32\svchost.exe>
[IFEO[kapjgaz.exe]] <C:\windows\system32\svchost.exe>
[IFEO[KERNL32.exe]] <C:\windows\system32\svchost.exe>
[IFEO[kvdxlis.exe]] <C:\windows\system32\svchost.exe>
[IFEO[kvdxslis.exe]] <C:\windows\system32\svchost.exe>
[IFEO[LYLOADER.EXE]] <C:\windows\system32\svchost.exe>
[IFEO[mprmsgse.axz]] <C:\windows\system32\svchost.exe>
[IFEO[my_70145.exe]] <C:\windows\system32\svchost.exe>
[IFEO[pp.exe]] <C:\windows\system32\svchost.exe>
[IFEO[qyl_tmp.exe]] <C:\windows\system32\svchost.exe>
[IFEO[realplay.exe]] <C:\windows\system32\svchost.exe>
[IFEO[Routingi.exe]] <C:\windows\system32\svchost.exe>
[IFEO[rsjzasp.exe]] <C:\windows\system32\svchost.exe>
[IFEO[rundll.exe]] <C:\windows\system32\svchost.exe>
[IFEO[servciesff.exe]] <C:\windows\system32\svchost.exe>
[IFEO[snowfall.exe]] <C:\windows\system32\svchost.exe>
[IFEO[svch0st.exe]] <C:\windows\system32\svchost.exe>
[IFEO[svchcst.exe]] <C:\windows\system32\svchost.exe>
[IFEO[sysloader.exe]] <C:\windows\system32\svchost.exe>
[IFEO[SystemApiReg.exe]] <C:\windows\system32\svchost.exe>
[IFEO[temp0031.tmp]] <C:\windows\system32\svchost.exe>
[IFEO[upxdnd.exe]] <C:\windows\system32\svchost.exe>
[IFEO[usbhelp.exe]] <C:\windows\system32\svchost.exe>
[IFEO[vista.exe]] <C:\windows\system32\svchost.exe>
[IFEO[windowssystem.exe]] <C:\windows\system32\svchost.exe>
[IFEO[winsys.exe]] <C:\windows\system32\svchost.exe>
[IFEO[wscript32.exe]] <C:\windows\system32\svchost.exe>
[IFEO[wsmseax.exe]] <C:\windows\system32\svchost.exe>
[IFEO[zsmscc071001.exe]] <C:\windows\system32\svchost.exe>
==================================
驱动程序
[1fleqw / 1fleqwu][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\1fleqwu.sys><N/A>
[od7sa7l0 / od7sa7l0][Running/Auto Start]
<\??\C:\WINNT\system32\drivers\od7sa7l0.sys><N/A>
==================================
浏览器加载项
[]
{16C6167B-FED4-4CEE-8951-134C9A345DA2} <C:\WINNT\system32\dfieisiuzf.dll, >
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>
==================================
正在运行的进程
c:\winnt\system32\jkky.dll
c:\winnt\system\zhqb32.dll
********************************
说下整个过程:对上面的这些可疑项进行清理,删除工具使用powerrmv(可以通过建立同名文件夹的方法来抑制删除对象再生),中间有点小麻烦,比如驱动中的c:\winnt\System32\DRIVERS\1fleqwu.sys,虽然显示删除,但是发现并没建立起同名文件夹,原来的文件也还在(试了安全模式下删除也是如此),看来确实是powerrmv对个别驱动级文件删除能力不够。而且发现,除了上面日志中显示的这些文件外还有其它的病毒文件存在,通过查看文件创建和修改日期,比对已发现的病毒文件的日期,又删除了一批相关文件。
而通过SREng删除IFEO映像劫持项目时也有麻烦,删除后又自动生成。仔细看这些被劫持的文件名,什么033.exe、LYLOADER.EXE的,感觉怎么好象病毒劫持的好象都不是正常文件,而是木马文件,难道这个病毒对同类也下杀手,病毒行内竞争?
最后我用了windows清理助手(arswp)来清理,本来是打算用它来扫尾的,没想到它的威力挺大,由于它带有驱动级删除能力,所以连上面powerrmv不能删除的驱动文件也干掉了(省得我去用冰刃的强制删除了)。另外顺便发现一个可疑文件mscpx32r.det,虽然清理助手也不十分肯定它有问题,但到网上搜索却有结果,是“AV终结者新变种”释放的文件,怪不得在清除它前,我打不开病毒相关的网页。在清理助手扫过后重启,IFEO的劫持项终于可以删除干净了。
清除上面的绝大部分文件(此时我还没注意到那个userinit.exe),并清空系统临时文件(temp)和IE缓存(这些都可能是病毒木马的藏身地,一定要清一下)后,重启,桌面却还没回来。再次检查日志,才发现这么个可疑的地方
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINNT\system32\userinit.exe,> []
这个文件没通过微软文件校验(Verified),以前我记得都有的,到文件夹中找到userinit.exe这个文件,查看它的属性,大小、日期都正常,唯一可疑的是属性页中没有“版本”页,只有“常规”页。找了个正常的userinit.exe文件对比一下,属性中应该有“版本”页的。用正常的userinit.exe覆盖,然后重启,桌面回来了。
另外用机上装的卡卡助手检查(中毒时卡卡也跟着倒下了,直到我清除病毒后重启才又在任务栏重新冒出图标,原来还有装卡卡,呵呵),发现病毒还修改了IE主页,指向about.blank.la,正常的空白页是about blank,而前面那个是个网址,明显在假冒空白页。最后检查又发现自动更新不能启动,里面所有选项都是灰色的。这简单,进入注册表:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows 下找WindowsUpdate,把WindowsUpdate删除,就OK了。
到此全部修复,桌面也回来了。总结,看日志要仔细,日志之外还可能有其它病毒文件,多工具综合使用,强力工具的使用(要有驱动级删除能力)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/35.html
