这算是杀毒一周记的最后一篇了,这次杀毒的几个特征,与前几篇有相似之处,但不同的是SREng能够运行,使得保留了一份日志。(注,以下内容是在win2000下进行的,所以系统目录是winnt,如c:\winnt,如果是xp系统,则要改成windows,如c:\windows)
出现的问题是开机跳出“损坏的图像”的对话框,
还有win.ini文件被修改(这是指正常的系统文件,在c:\winnt\下的),在末尾加了不少内容,如图所示:
除了这个正常的win.ini,在c:\winnt\system32下又出现一个win.ini文件,其内容如下(看样子是下载木马的链接):
2008-4-29=http://down.358baidu.cn/1.exe
2008-4-29=http://down.358baidu.cn/2.exe
2008-4-29=http://down.358baidu.cn/3.exe
2008-4-29=http://down.358baidu.cn/4.exe
2008-4-29=http://down.358baidu.cn/5.exe
2008-4-29=http://down.358baidu.cn/6.exe
2008-4-29=http://down.358baidu.cn/7.exe
2008-4-29=http://down.358baidu.cn/8.exe
2008-4-29=http://down.358baidu.cn/9.exe
2008-4-29=http://down.358baidu.cn/10.exe
2008-4-29=http://down.358baidu.cn/11.exe
2008-4-29=http://down.358baidu.cn/12.exe
2008-4-29=http://down.358baidu.cn/13.exe
2008-4-29=http://down.358baidu.cn/14.exe
2008-4-29=http://down.358baidu.cn/15.exe
2008-4-29=http://down.358baidu.cn/16.exe
2008-4-29=http://down.358baidu.cn/17.exe
2008-4-29=http://down.358baidu.cn/18.exe
2008-4-29=http://down.358baidu.cn/19.exe
2008-4-29=http://down.358baidu.cn/20.exe
2008-4-29=http://down.358baidu.cn/21.exe
2008-4-29=http://down.358baidu.cn/22.exe
2008-4-29=http://down.358baidu.cn/23.exe
2008-4-29=http://down.358baidu.cn/24.exe
2008-4-29=http://down.358baidu.cn/25.exe
2008-4-29=http://down.358baidu.cn/26.exe
由于有SREng帮忙,处理起来就方便了:
1.删除以下文件(建议用带抵制删除对象再生的xdelbox或powerrmv来删除):
c:\documents and settings\user\local settings\temp\23.tmp
c:\documents and settings\user\local settings\temp\tmp1.tmp
c:\documents and settings\user\local settings\temp\tmp12.tmp
c:\documents and settings\user\local settings\temp\tmp16.tmp
c:\documents and settings\user\local settings\temp\tmp1a.tmp
c:\documents and settings\user\local settings\temp\tmpe.tmp
c:\winnt\bincdwsa.exe
c:\winnt\dionpis.exe
c:\winnt\fmbiost.exe
c:\winnt\fmsjhif.exe
c:\winnt\huifitc.exe
c:\winnt\issms32.exe
c:\winnt\mfchlp64.exe
c:\winnt\soundman.exe
c:\winnt\system32\9.exe
c:\winnt\system32\bincdwsa.dll
c:\winnt\system32\drivers\msosmsfpfis64.sys
c:\winnt\system32\drivers\msosmsp2p32.sys
c:\winnt\system32\fdaqxm.dll
c:\winnt\system32\fmbiost.dll
c:\winnt\system32\ijzcjx.dll
c:\winnt\system32\interne.exe
c:\winnt\system32\issms32.dll
c:\winnt\system32\mpmycapi.dll
c:\winnt\system32\msoscqit00.dll
c:\winnt\system32\msosdrop00.dll
c:\winnt\system32\msosfmsq00.dll
c:\winnt\system32\msosjtio01.dll
c:\winnt\system32\msosmhfp00.dll
c:\winnt\system32\msosmnsf00.dll
c:\winnt\system32\msosmnsf01.dll
c:\winnt\system32\msosping00.dll
c:\winnt\system32\msosptfs00.dll
c:\winnt\system32\mxavpw0.dll
c:\winnt\system32\nicozftp00.dll
c:\winnt\system32\ozfycbyt.dll
c:\winnt\system32\ptjhchlp.dll
c:\winnt\system32\sqmvjz.dll
c:\winnt\system32\sysdajhv.dll
c:\winnt\system32\uryzkr.dll
c:\winnt\system32\wocmyt.dll
c:\winnt\system32\ypcqchlp.dll
c:\winnt\system32\yzztemsn.dll
c:\winnt\system32\zptlbsys.dll
c:\winnt\system32\zxmsawin.dll
c:\winnt\system32\zywlaime.dll
c:\winnt\system32\zywmcime.dll
c:\winnt\system32\zyzxeime.dll
c:\winnt\winsvr64.exe
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<issms32><C:\WINNT\issms32.exe> []
<dionpis><C:\WINNT\dionpis.exe> [N/A]
<bincdwsa><C:\WINNT\bincdwsa.exe> []
<fmsjhif><C:\WINNT\fmsjhif.exe> [N/A]
<huifitc><C:\WINNT\huifitc.exe> [N/A]
<mfchlp64><C:\WINNT\mfchlp64.exe> []
<WINSvr64><C:\WINNT\WINSvr64.exe> []
<fmbiost><C:\WINNT\fmbiost.exe> []
<SoundMan><SoundMan.exe> [] 没有厂商名称,可疑的声卡驱动程序
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><SysDaJHv.dll,msosdrop00.dll,msosfmsq00.dll,msosmhfp00.dll,msosping00.dll,msoscqit00.dll,msosmnsf01.dll,nicozftp00.dll,msosptfs00.dll,msosjtio00.dll> [] 这里用“编辑”方法,把AppInit_DLLs修改为空值即可
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3A069845-2036-6084-9054-6087502480A3}><C:\WINNT\system32\ozfycbyt.dll> [N/A]
<{5A59145F-315D-BC23-AC1F-145DF81A34A5}><C:\WINNT\system32\zyzxeime.dll> [N/A]
<{328DF602-9541-A985-210A-984A698C6F23}><C:\WINNT\system32\ptjhchlp.dll> [N/A]
<{3629FF4F-ACDB-5C90-A098-FACB3456A263}><C:\WINNT\system32\mpmycapi.dll> [N/A]
<{3319A1F1-9410-9654-3201-345FFA349133}><C:\WINNT\system32\zywmcime.dll> [N/A]
<{40940F85-F015-14F1-A05F-F69858AC6D04}><C:\WINNT\system32\zptlbsys.dll> [N/A]
<{4A041F13-A111-12A3-B0CF-F99818AA68A4}><C:\WINNT\system32\zxmsawin.dll> [N/A]
<{17A924AF-1A5F-CF21-AB1D-1D5CF82A8A71}><C:\WINNT\system32\zywlaime.dll> [N/A]
<{40AF1289-F140-A140-D012-C1458759FC04}><C:\WINNT\system32\ypcqchlp.dll> [N/A]
<{5490415F-65F8-B5C5-D8BA-9405FB120545}><C:\WINNT\system32\yzztemsn.dll> [N/A]
<{3E387664-C799-4D62-B196-25776EF35C51}><C:\WINNT\system32\mxavpw0.dll> []
后面是映像劫持,都是劫持到系统文件上以干扰我们的判断
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Loader.exe]
<IFEO[360Loader.exe]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
<IFEO[ctfmon.exe]><SoundMan.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword]
<IFEO[IceSword]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]
<IFEO[Iparmor.exe]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe]
<IFEO[kmailmon.exe]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras]
<IFEO[ras]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep]
<IFEO[runiep]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
<IFEO[taskmgr.exe]><svchost.exe> [(Verified)Microsoft Windows 2000 Publisher]
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Help and Support / helpsvc] <C:\WINNT\system32\interne.exe>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[cqit / cqit] <9.exe>
[zftp / zftp] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp1.tmp>
[snpshot / snpshot] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\23.tmp>
[ptfs / ptfs] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp12.tmp>
[msp2p32 / msp2p32] <\??\C:\WINNT\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64] <\??\C:\WINNT\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmpE.tmp>
[fmsq / fmsq] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp16.tmp>
[drop / drop] <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp1A.tmp>
系统修复-- 浏览器加载项之如下项删除:
[] <C:\WINNT\system32\zywlaime.dll>
[] <C:\WINNT\system32\ptjhchlp.dll>
[] <C:\WINNT\system32\zywmcime.dll>
[] <C:\WINNT\system32\mpmycapi.dll>
[] <C:\WINNT\system32\ozfycbyt.dll>
[] <C:\WINNT\system32\zptlbsys.dll>
[] <C:\WINNT\system32\ypcqchlp.dll>
[] <C:\WINNT\system32\zxmsawin.dll>
[] <C:\WINNT\system32\yzztemsn.dll>
[] <C:\WINNT\system32\zyzxeime.dll>
最后别忘了修复c:\winnt\win.ini(去掉后面多余的,即上图中展开“+”号的部分),删除c:\winnt\system32下的win.ini(这个应该是下载木马的链接)
东西不少,当然想偷懒就象我一样用windows清理助手先杀,漏下的再对照上面删除。虽然耗时间,不过相对前两篇的边试边做要轻松多了,以上文件前两篇的经历中也出现过,因为没日志无法说明,在这里一齐列出来了,虽然这几天杀毒病毒文件非常相似,但带来的影响和现象却有不同,不过方法是一样的,就算工具不能用,用肉眼,用经验还是能分辨出可疑的文件和项目来,再借助可以使用的辅助工具,一定可以搞定病毒。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/63.html