与DL1.EXE搏斗小记 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://starger.blog.51cto.com/52097/27844 |
终于忙过了这一段,稍微有了些空闲。便在网上搜了个《功夫无敌》的电影消遣一把。没料电影看到一半,却发现桌面右下角的NOD监控图标不见了。
心里顿时一惊,重新启动,仍然毫无反应。无奈之小,之好重装NOD。可是居然每次打开存放NOD安装文件的文件夹,它就会自动被关闭。运行NOD的安装文件,也是一点作用也没!难道我居然中病毒了?
检查一遍进程,没发现可疑的东西。便决定重新安装一次系统,毕竟这个系统已经用了几个月了。重新启动,进DOS,恢复GHOST。可没想到的是新系统故障依旧,根本就装不上NOD,换MCAFEE也不成。
再次打开任务管理器,这次被我发现了一个“DL1。EXE”的进程,感觉比较可疑。换了台电脑搜索一下(因为我这个电脑已经不能出现有毒字的任何东西,一出现立马自动关闭。),果然,我中了一个坏事做绝了的新U盘病毒。根据搜索结果显示,此病毒中毒症状为:
1.破坏安全模式
2.不能显示隐藏文件 3.结束常见杀毒软件以及常用杀毒工具进程 4.监控窗口 5.IFEO映像劫持 6.可以通过移动存储传播 下附专家分析过程:
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件 我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 该dll插入Explorer进程 结束(包括但不限于)以下进程 360rpt.exe 360Safe.exe 360tray.exe adam.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.COM KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe mmsk.exe NAVSetup.exe nod32krn.exe nod32kui.exe PFW.exe PFWLiveUpdate.exe QHSET.exe Ras.exe Rav.exe RavMon.exe RavMonD.exe RavStub.exe RavTask.exe RegClean.exe rfwcfg.exe RfwMain.exe rfwProxy.exe rfwsrv.exe RsAgent.exe Rsaupd.exe runiep.exe safelive.exe scan32.exe shcfg32.exe SmartUp.exe SREng.exe symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.EXE.exe WoptiClean.exe zxsweep.exe 常见的杀毒软件和一些安全工具都被他干掉了 然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat 监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭 木马 木馬 病毒 杀毒 殺毒 查毒 防毒 反病毒 专杀 專殺 卡巴斯基 江民 瑞星 卡卡社区 金山毒霸 金山社区 360安全 恶意软件 流氓软件 举报 报警 杀软 殺軟 防駭 以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的 比熊猫更狠 让你找不到进程咯 然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A] 达到开机启动目的 而且那个dll会监控这个注册表项目 如果被删除则立即恢复 删除键 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 破坏安全模式 修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000 使得显示不了隐藏文件 释放8668122F.exe(骨头语:此文件名在每台电脑上各不相同)和autorun.inf到除系统分区外的其他分区 然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹 自解压文件释放C:\WINDOWS\system\20290.exe C:\WINDOWS\system\ad1309.exe C:\WINDOWS\system\DiskFree_hy1.5.exe C:\WINDOWS\system\dodolook027.exe等文件 这里面有驱动木马 也有流氓软件 所有的文件都运行后 添加了如下文件 C:\WINDOWS\system32\drivers\acpidisk.sys C:\WINDOWS\system32\drivers\tolnfo47.sys C:\WINDOWS\system32\drivers\vilpew30.sys C:\WINDOWS\system32\drivers\ykagjt85.sys C:\WINDOWS\system32\1b.dll C:\WINDOWS\system32\48a69 C:\WINDOWS\system32\60e4.exe C:\WINDOWS\system32\7df9.dll C:\WINDOWS\system32\91b6.dll C:\WINDOWS\system32\b60.dll C:\WINDOWS\system32\bpjlgv91.dll C:\WINDOWS\system32\df91.dll C:\WINDOWS\system32\f91b.exe C:\WINDOWS\system32\ieagent.exe C:\WINDOWS\system32\mprmsgse.axz C:\WINDOWS\system32\mscpx32r.det C:\WINDOWS\system32\MSRundll.exe C:\WINDOWS\system32\ntprint.dIl C:\WINDOWS\system32\tolnfo47.dll C:\WINDOWS\system32\tolnfo47.ini C:\WINDOWS\system32\vilpew30.dll C:\WINDOWS\system32\wingjt85.bin C:\WINDOWS\system32\wingjt85.dll C:\WINDOWS\system32\winkx.dll C:\WINDOWS\system32\winlgv91.bin C:\WINDOWS\system32\winpew30.bin C:\WINDOWS\system32\winpew30.dll C:\WINDOWS\system32\ykagjt85.dll C:\WINDOWS\system32\cewrndm.dll C:\WINDOWS\system32\tolnfo47.dll C:\WINDOWS\system32\vilpew30.dll C:\WINDOWS\system32\b60.dll C:\WINDOWS\03.bmp C:\WINDOWS\3fa.exe C:\WINDOWS\41115BDD.hlp C:\WINDOWS\fa7c.txt C:\Program Files\Internet Explorer\PLUGINS\system2.jmp C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 还装了两个软件 一个是adpush software 一个是disk free 可我是重新安装的操作系统,怎么也不行呢?他不可能立即就修改了我的注册表,看来问题主要是出在各个盘符下面的两个隐藏文件8668122F.exe和autorun.inf了。
我的解决办法如下:
1、重新安装操作系统
2、若不安装操作系统,需要把上述生成文件全部删除。除系统盘其他盘根目录下均会有8668122F.exe和autorun.inf隐藏文件存在。先通过注册表修改,让隐藏文件显示功能恢复正常(方法见http://starger.blog.51cto.com/blog/52097/17140)。
3、自己先建两个文件,名字和8668122F.exe和autorun.inf完全相同,格式也要相同。把属性均设置为隐藏,只读。
4、复制此两个文件,然后在每个盘符下把真实的病毒文件删除,粘贴自建的两个文件(否则病毒会自动生成,永远也删除不干净)
5、重新启动,重新恢复一遍操作系统。
问题终于得到解决,但是却也留下了后遗症。现在我的电脑除了系统盘之外,其他盘均无法通过双击或者右键打开,只能通过资源管理器浏览盘内容。据我分析应该为autorun.inf文件的问题,但是我却没有胆量把之删除,怕病毒没有清理干净。希望有朋友可以帮我解决这一问题。
这个病毒,根据症状分析,简直是天理难容,太坏了!!!!
本文出自 “思念狗的骨头” 博客,请务必保留此出处http://starger.blog.51cto.com/52097/27844 本文出自 51CTO.COM技术博客 |
starger
博客统计信息
热门文章
最新评论
友情链接
