病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 安全重于黑屏bootsafe.sys / BC.sys »

清除usp10.dll、psapi.dll木马群

通过所谓QQ中奖信息等欺骗用户点击从而导致中毒,关闭瑞星等杀毒软件,任务管理器中出现许多数字组合的进程,大量占用虚拟内存,电脑变慢,硬盘中同时出现很多usp10.dll文件,重装系统也不行等,360称之为犇牛木马下载器。

根据相关日志及信息,总结该木马清除方法:

1.删除以下文件:
 
c:\documents and settings\users\local settings\temp\410441
c:\documents and settings\users\local settings\temp\498598
c:\documents and settings\users\local settings\temp\523981
c:\documents and settings\users\local settings\temp\660097
c:\documents and settings\users\local settings\temp\wmsetup.dll
c:\documents and settings\users\local settings\temp\wowinitcode.dat(以上为临时文件夹中的文件,可能名字不同,仅为举例,建议将temp目录中所有文件都删除)
c:\program files\internet explorer\powernent.onz
c:\windows\fonts\ctmres.dll
c:\windows\fonts\framdee.ttf
c:\windows\system32\783dbe85.dat
c:\windows\system32\anblcfcc.dll
c:\windows\system32\anfmkpdd.dll
c:\windows\system32\anymie360.dll
c:\windows\system32\bgggodeo.dll
c:\windows\system32\bngeicjj.dll
c:\windows\system32\cboacmac.dll
c:\windows\system32\cdminlgo.dll
c:\windows\system32\coicjllg.dll
c:\windows\system32\dipncahd.dll
c:\windows\system32\dpnifihj.dll
c:\windows\system32\ejbageek.dll
c:\windows\system32\feehilgm.dll
c:\windows\system32\fhldkcon.dll
c:\windows\system32\fmelpmlj.dll
c:\windows\system32\gkoolcln.dll
c:\windows\system32\gmcfhkfl.dll
c:\windows\system32\hnidaghn.dll
c:\windows\system32\hpekfama.dll
c:\windows\system32\khniobio.dll
c:\windows\system32\kknakofe.dll
c:\windows\system32\mohmabdm.dll
c:\windows\system32\nlamapnn.dll
c:\windows\system32\ocbljnkh.dll
c:\windows\system32\oedcbnbm.dll
c:\windows\system32\onmhmica.dll
c:\windows\system32\a9a5b815.dat
c:\windows\system32\afmfbpod.dll
c:\windows\system32\aphhelnc.dll
c:\windows\system32\cpbmbhai.dll
c:\windows\system32\cpjihnkn.dll
c:\windows\system32\ejbohnoh.dll
c:\windows\system32\gmdpjeff.dll
c:\windows\system32\golpkdia.dll
c:\windows\system32\jcljhknc.dll
c:\windows\system32\jfginihd.dll
c:\windows\system32\lipnjjko.dll
c:\windows\system32\nkmldkma.dll
c:\windows\system32\nnmbdoln.dll
c:\windows\system32\paojefak.dll(以上c:\windows\system32中的病毒文件均为随机字母组合,可能不同例子有所不同)
c:\windows\system32\drivers\msiffei.sys
psapi.dll(可能存在QQ目录下)
usp10.dll(可能出现在所有硬盘分区中各个应用软件的安装目录内,需全盘搜索)

2.使用SREng修复下面各项:
 
    启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Alcmtr><anymie360.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><D:\WINDOWS\fonts\ComRes.dll cpbmbhai.dll,nkmldkma.dll,golpkdia.dll,jfginihd.dll,paojefak.dll,gmdpjeff.dll,afmfbpod.dll,aphhelnc.dll,nnmbdoln.dll,
jcljhknc.dll,lipnjjko.dll,ejbohnoh.dll,cpjihnkn.dll>(注意,此项清空<AppInit_DLLs>后面的值即可)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{52973348-F06A-4FC6-8FFA-72588B82D629}><D:\WINDOWS\system32\lipnjjko.dll> 
    <{3C53147C-1E2F-4A68-8940-8E7B58313287}><D:\WINDOWS\system32\jcljhknc.dll>
    <{776BD857-A54F-43BA-AF54-B4CFDCB6B910}><D:\WINDOWS\system32\nnmbdoln.dll>
    <{A911E57C-2651-4134-B7EA-7A8938291B07}><D:\WINDOWS\system32\aphhelnc.dll>
    <{AF6FB98D-BE98-4401-A7EE-850CE77C07D8}><D:\WINDOWS\system32\afmfbpod.dll>
    <{06D93EFF-5BD6-4AF4-ACAF-0CF122287D91}><D:\WINDOWS\system32\gmdpjeff.dll> 
    <{9A83EFA4-2999-4613-B5E2-D7D1D3A9424D}><D:\WINDOWS\system32\paojefak.dll>
    <{3F02721D-C339-4497-9084-76BD16294E43}><D:\WINDOWS\system32\jfginihd.dll> 
    <{08594D2A-E88B-4118-8303-4191508C3EAF}><D:\WINDOWS\system32\golpkdia.dll>
    <{7465D46A-FC46-4EDD-AE73-5FF459765ADC}><D:\WINDOWS\system32\nkmldkma.dll> 
    <{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><D:\Program Files\Internet Explorer\PowerNeNt.Onz> 
    <{C9B6B1A2-9194-464E-9E89-5212200BF437}><D:\WINDOWS\system32\cpbmbhai.dll>
    <{E3B81781-B477-4901-8767-48B8AE2C58C7}><D:\WINDOWS\system32\ejbohnoh.dll> 
    <{C9321747-25B1-4ECF-A3C8-1983EFBB3D02}><D:\WINDOWS\system32\cpjihnkn.dll>
    <{D297CA1D-923E-4640-A344-3CAF1CE55E9B}><C:\WINDOWS\system32\dipncahd.dll> 
    <{8EDCB7B6-42EF-4CA0-8632-207EAE9A5E01}><C:\WINDOWS\system32\oedcbnbm.dll> 
    <{D972F213-0BA9-4F7D-ADCD-5833A192DC98}><C:\WINDOWS\system32\dpnifihj.dll> 
    <{04885C57-25B2-4BA5-AC94-973078361BE7}><C:\WINDOWS\system32\gkoolcln.dll> 
    <{FEE12506-EF10-47AC-A78E-B6E1E25C84DE}><C:\WINDOWS\system32\feehilgm.dll>
    <{C82C3550-4F78-453F-9747-969EB77B8D8C}><C:\WINDOWS\system32\coicjllg.dll> 
    <{8CB53741-060D-4C88-9BE2-607AF974569B}><C:\WINDOWS\system32\ocbljnkh.dll> 
    <{B70E2C33-8181-4EC9-9B8E-A34E2FE66B03}><C:\WINDOWS\system32\bngeicjj.dll>
    <{06CF14F5-0B3E-4C44-BBA2-EFFB447EB4BD}><C:\WINDOWS\system32\gmcfhkfl.dll>
    <{172DA017-6115-4F67-8D45-63CD967FE535}><C:\WINDOWS\system32\hnidaghn.dll> 
    <{876162CA-1CF5-484A-9A40-2CF5AA941380}><C:\WINDOWS\system32\onmhmica.dll>
    <{75A6A977-B4FC-4F62-989C-30F949A9242E}><C:\WINDOWS\system32\nlamapnn.dll>
    <{B0008DE8-2042-4490-A61C-47FAF87B149B}><C:\WINDOWS\system32\bgggodeo.dll>
    <{F15D4C87-2D9F-44DD-B71E-946CA734C9A5}><C:\WINDOWS\system32\fhldkcon.dll> 
    <{A7B5CFCC-AEDD-42A5-A1AA-56984530D9F4}><C:\WINDOWS\system32\anblcfcc.dll>
    <{447A48FE-7C88-4B78-8219-4F92131D4411}><C:\WINDOWS\system32\kknakofe.dll> 
    <{19E4FA6A-5190-4D15-A0EB-665997F7728A}><C:\WINDOWS\system32\hpekfama.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <52973348><D:\WINDOWS\system32\lipnjjko.dll> 
    <3C53147C><D:\WINDOWS\system32\jcljhknc.dll> 
    <776BD857><D:\WINDOWS\system32\nnmbdoln.dll> 
    <A911E57C><D:\WINDOWS\system32\aphhelnc.dll> 
    <AF6FB98D><D:\WINDOWS\system32\afmfbpod.dll> 
    <06D93EFF><D:\WINDOWS\system32\gmdpjeff.dll> 
    <9A83EFA4><D:\WINDOWS\system32\paojefak.dll>
    <3F02721D><D:\WINDOWS\system32\jfginihd.dll> 
    <08594D2A><D:\WINDOWS\system32\golpkdia.dll> 
    <7465D46A><D:\WINDOWS\system32\nkmldkma.dll> 
    <C9B6B1A2><D:\WINDOWS\system32\cpbmbhai.dll> 
    <E3B81781><D:\WINDOWS\system32\ejbohnoh.dll> 
    <C9321747><D:\WINDOWS\system32\cpjihnkn.dll>
    <D297CA1D><C:\WINDOWS\system32\dipncahd.dll>
    <8EDCB7B6><C:\WINDOWS\system32\oedcbnbm.dll> 
    <D972F213><C:\WINDOWS\system32\dpnifihj.dll>
    <04885C57><C:\WINDOWS\system32\gkoolcln.dll> 
    <FEE12506><C:\WINDOWS\system32\feehilgm.dll> 
    <C82C3550><C:\WINDOWS\system32\coicjllg.dll> 
    <8CB53741><C:\WINDOWS\system32\ocbljnkh.dll> 
    <B70E2C33><C:\WINDOWS\system32\bngeicjj.dll>
    <06CF14F5><C:\WINDOWS\system32\gmcfhkfl.dll>
    <172DA017><C:\WINDOWS\system32\hnidaghn.dll> 
    <876162CA><C:\WINDOWS\system32\onmhmica.dll>
    <75A6A977><C:\WINDOWS\system32\nlamapnn.dll> 
    <B0008DE8><C:\WINDOWS\system32\bgggodeo.dll>
    <F15D4C87><C:\WINDOWS\system32\fhldkcon.dll> 
    <A7B5CFCC><C:\WINDOWS\system32\anblcfcc.dll>
    <447A48FE><C:\WINDOWS\system32\kknakofe.dll> 
    <19E4FA6A><C:\WINDOWS\system32\hpekfama.dll> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
  [CCenter.exe]   
  [RavMon.exe]   
  [RavMonD.exe]   
  [RavTask.exe]   
  [rfwmain.exe]   
  [RfwSrv.exe]   
  [Thunder5.exe]  

    启动项目 -- 服务-- 驱动程序之如下项删除:
[Safe Mon 360 / SafeMon0]    <\??\D:\WINDOWS\system32\A9A5B815.dat>(有时是C:\WINDOWS\system32\783DBE85.dat)
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
 
    系统修复-- 浏览器加载项之如下项删除:
[]    <D:\Program Files\Internet Explorer\PowerNeNt.Onz>

3.该木马群会感染如下系统文件(需要用正常文件覆盖被感染文件修复):

C:\WINDOWS\system32\userinit.exe
c:\WINDOWS\system32\ctfmon.exe
c:\windows\system32\rpcss.dll
c:\WINDOWS\System32\comres.dll
 

c:\windows\system32\usp10.dll
c:\windows\system32\psapi.dll(这两个是正常文件usp10.dll与psapi.dll所在的位置,其余地方出现的才是病毒)

4.除清理临时文件夹temp外,建议也同时删除IE缓存,可以用冰刃直接进入IE缓存文件夹中删除,或IE-工具internet选项-删除文件-删除所有脱机文件(IE6)、IE-工具-internet选项-浏览历史纪录-删除文件-全部删除-也删除由加载项存储的文件和设置(IE7)

5.使用windows清理助手清理,升级杀毒软件全盘扫描,另可参考与下载usp10.dll和psapi.dll清理工具或360顽固木马专杀大全。

2月8日补充:“usp10.dll”木马病毒(又称猫癣、犇牛病毒)


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/229.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号