同事的电脑一开机,就弹出一个“程序错误”的提示框:“ntsd.exe产生了错误,会被windows关闭。您需要重新启动程序。正在创建错误日志。”,点确定关闭后,很快又跳出几个来,同时电脑上安装的杀毒软件以及卡卡助手不能启动(应该猜到是哪个杀毒软件了吧,当然这里不怪它,因为用的竟然是2007的版本),任务管理器也打不开,很明显有映像劫持。不过在寻找备份文件过程中还发现了usp10.dll,只有7K多的大小(正常文件有300多K大),看来还有犇牛(也有叫猫癣)病毒,还发现输入法图标也不见了,更确定了这个输入法杀手。不管叫什么,usp10.dll不会单独存在,它是个下载器,会下载很多木马病毒到电脑上,果然很多。
具体清除方法与步骤:
1.删除以下文件(参考怎样根据SREng日志的分析报告清除病毒)
c:\program files\internet explorer\plugins\b54321.bho
c:\program files\internet explorer\dxplrobt.rxf
c:\program files\internet explorer\sedtmazl.rz2
c:\program files\internet explorer\powerja.ask
c:\windows\system32\csrsm.exe
c:\windows\system32\drivers\aliimz.sys
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\vxfly32.dll
C:\DOCUME~1\USER\LOCALS~1\Temp\863374
以下由随机数字、字母组合文件名的部分可能不止以下所列或有其它变种,可以根据相同的文件日期(近期)进行分辨
c:\windows\system32\16af66eb.dll
c:\windows\system32\1957817a.dll
c:\windows\system32\201476d0.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\72b29486.dll
c:\windows\system32\91c7df6d.dll
c:\windows\system32\a1a6bc2e.dll
c:\windows\system32\d64374e8.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\f71a67d5.dll
……
2.使用SREng修复下面各项
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<nwiz><vxFly32.exe>
<stup><C:\DOCUME~1\USER\LOCALS~1\Temp\863374>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{56E800F9-8E27-451B-B960-53EC724C3A87}><C:\Program Files\Internet Explorer\SedtMazl.Rz2>
<{C3919446-AF54-44AE-9CFB-CEF0AB35A3C1}><C:\Program Files\Internet Explorer\DxPlroBt.Rxf>
<{08CBFE20-8DC8-4195-B8E2-DD66F860469D}><C:\Program Files\Internet Explorer\PowerJa.ask>
以下随机数字、字母组合文件名部分解释见上“删除文件部分”
<{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>
<{5934EA2B-B2C4-4BE7-BF7A-FBA781A12E40}><5934EA2B.dll>
<{E3367679-4775-4244-A62E-4CFE58FC850B}><E3367679.dll>
<{3F21AA0C-2A9E-4BE9-9083-9E58AB41BA01}><3F21AA0C.dll>
<{70B0129E-726E-4789-A7C0-5DDC33241E94}><70B0129E.dll>
<{58FF3024-8A83-4B1A-88E9-302F47646EEE}><58FF3024.dll>
<{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}><F65BDEC7.dll>
<{16AF66EB-93C8-49F9-BB09-B4F87CEDCE46}><16AF66EB.dll>
<{72B29486-39B6-4241-B234-B57DEF78302F}><72B29486.dll>
<{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><A1A6BC2E.dll>
<{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll>
<{704C3595-DB85-40F6-A601-8D6F346907BD}><704C3595.dll>
<{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>
<{1957817A-94B2-4CAC-B113-A331809B5730}><1957817A.dll>
<{91C7DF6D-AEF5-4136-9252-AF030D7A5931}><91C7DF6D.dll>
<{D64374E8-8B1D-49AB-9284-5072687B6BD3}><D64374E8.dll>
<{F71A67D5-5BBB-47A3-9534-4150FC739257}><F71A67D5.dll>
<{16BC0F81-410C-41DF-A902-1B04368BA8AE}><16BC0F81.dll>
注册表中还有大量的映像劫持IFEO,绑架了大部分的杀毒软件,甚至包括usbcleaner、360、QQ医生,还有文件监视的filemon.exe,不过没有SREng与windows清理助手等,就算有也有办法处理,大不了用PE挂接硬盘的注册表。以上IFEO项我不列举了一并删除,它们大部分使用ntsd -d命令来劫持正常程序,因此在开机启动时会提示ntsd错误,有少部分使用c:\windows\system32\svchost.exe,不过这个svchost.exe就不要删除了,只要删除注册表项即可。
启动项目-服务-Win32服务应用程序之如下项删除:
[zztxwinds / zztxwinds] <"C:\WINDOWS\system32\csrsm.exe" tcp>
启动项目-服务-驱动程序之如下项删除:
[aliimz / aliimz] <System32\Drivers\aliimz.sys>
[HBKernel32 Driver / HBKernel32] <\SystemRoot\system32\drivers\HBKernel32.sys>
系统修复-浏览器加载项之如下项删除:
[] <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>
[] <C:\Program Files\Internet Explorer\SedtMazl.Rz2>
[] <C:\Program Files\Internet Explorer\DxPlroBt.Rxf>
[] <C:\Program Files\Internet Explorer\PowerJa.ask>
进入c:\windows\system32\drivers\etc\,用记事本打开HOSTS文件,删除其中指向222.189.238.6的几行内容(这里HOSTS文件竟然被设置成隐藏、只读属性,且隐藏属性为灰色不可改,这倒不要紧)。
然后,全盘搜索病毒文件usp10.dll、psapi.dll(正常的系统文件30K左右)、thumbs.db,全部删除。清空临时文件、IE缓存,再顺便检查下IE主页(本例中IE主页被修改成2345.com)。接着到正常的电脑上拷贝ctfmon.exe到c:\windows\system32\下(如果没有安装文字服务的,则是拷贝internat.exe),并到控制面板中设置在桌面上显示输入法图标,否则桌面上仍然没有输入法,同时手动添加到注册表的启动项中,不然下次开机输入法图标不会启动的(除非你愿意每次都手动运行它们),添加位置一般就在RUN项中,可以参考其它电脑上的位置(我的电脑上是在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,在右边窗口中新建一个字符串值ctfmon.exe,数据为c:\windows\ctfmon.exe)
重启电脑,杀毒软件也应该活了,运行杀毒软件扫尾(当然我不会用2007版的东东扫找,另下了一个NOD32)。最后说明一下,如果你嫌上述手动查杀很麻烦,可以先用windows清理助手(arswp)来清理,再检查遗漏项,我就是这么做的。不过清理助手这次清理时可能误删了一个beep.sys的文件,不过没关系,最后从别的电脑上拷过来就是或者从原备份的GHOST文件中提取也行。
一般这样就差不多了,如果你更认真些,而且有一定病毒识别能力,可以进入系统文件夹中,按文件创建日期和修改日期再检查下,删除近期出现的可疑文件(不要误删就行)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/278.html
