病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 查找www.2345.com/?duto藏身地病毒导致所有文件夹为隐藏的修复 »

找回丢失的桌面

  同事的电脑(因为系统是win2000,所以下面的系统目录是c:\winnt,如果是xp,就是c:\windows)启动后进不了桌面,只有一个光光的桌布显示。

  按ctrl+alt+del可以启动任务管理器,从任务管理器的菜单“文件”-“新建任务”-输入explorer.exe-确定,可以进入桌面。然后运行SREng扫描日志。经检查,发现下面可疑项目进行清理:

******************************

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <zhqbdf><rundll32.exe C:\WINNT\system\zhqbdf080101.dll mymain>  [N/A]
    <zsms><rundll32.exe C:\WINNT\system32\mcdsrv16_080101.dll start>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINNT\system32\userinit.exe,>  [] (这个等会再说,一开始还真没注意到它)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>  [Microsoft Corporation]
    <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINNT\system32\qhdoor0.dll>  []

下面的都是注册表的映像劫持项,具体的也下面说
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
[IFEO[033.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[1068.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[133c010.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[3fa1.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[60e41.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[a.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[ad6421.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[aimi008.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[an006.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[avwghst.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[avzxmst.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[cns.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[d03.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[d39.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[DelMI2345.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[dms.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[dns.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[dodolook573.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[dodolook7529.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[FirefoxGoogleToolbarSetup.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[gjfhazc.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[gjtmazc.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[GLF49.tmp.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_a.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_b.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[habooSetup_c.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[host.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[kafykaz.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[kapjgaz.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[KERNL32.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[kvdxlis.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[kvdxslis.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[LYLOADER.EXE]]    <C:\windows\system32\svchost.exe>
[IFEO[mprmsgse.axz]]    <C:\windows\system32\svchost.exe>
[IFEO[my_70145.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[pp.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[qyl_tmp.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[realplay.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[Routingi.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[rsjzasp.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[rundll.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[servciesff.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[snowfall.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[svch0st.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[svchcst.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[sysloader.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[SystemApiReg.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[temp0031.tmp]]    <C:\windows\system32\svchost.exe>
[IFEO[upxdnd.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[usbhelp.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[vista.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[windowssystem.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[winsys.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[wscript32.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[wsmseax.exe]]    <C:\windows\system32\svchost.exe>
[IFEO[zsmscc071001.exe]]    <C:\windows\system32\svchost.exe>

==================================
驱动程序
[1fleqw / 1fleqwu][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\1fleqwu.sys><N/A>
[od7sa7l0 / od7sa7l0][Running/Auto Start]
  <\??\C:\WINNT\system32\drivers\od7sa7l0.sys><N/A>

==================================
浏览器加载项
[]
  {16C6167B-FED4-4CEE-8951-134C9A345DA2} <C:\WINNT\system32\dfieisiuzf.dll, >
[]
  {C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

==================================
正在运行的进程
c:\winnt\system32\jkky.dll
c:\winnt\system\zhqb32.dll

********************************

  说下整个过程:对上面的这些可疑项进行清理,删除工具使用powerrmv(可以通过建立同名文件夹的方法来抑制删除对象再生),中间有点小麻烦,比如驱动中的c:\winnt\System32\DRIVERS\1fleqwu.sys,虽然显示删除,但是发现并没建立起同名文件夹,原来的文件也还在(试了安全模式下删除也是如此),看来确实是powerrmv对个别驱动级文件删除能力不够。而且发现,除了上面日志中显示的这些文件外还有其它的病毒文件存在,通过查看文件创建和修改日期,比对已发现的病毒文件的日期,又删除了一批相关文件。

  而通过SREng删除IFEO映像劫持项目时也有麻烦,删除后又自动生成。仔细看这些被劫持的文件名,什么033.exe、LYLOADER.EXE的,感觉怎么好象病毒劫持的好象都不是正常文件,而是木马文件,难道这个病毒对同类也下杀手,病毒行内竞争?

  最后我用了windows清理助手(arswp)来清理,本来是打算用它来扫尾的,没想到它的威力挺大,由于它带有驱动级删除能力,所以连上面powerrmv不能删除的驱动文件也干掉了(省得我去用冰刃的强制删除了)。另外顺便发现一个可疑文件mscpx32r.det,虽然清理助手也不十分肯定它有问题,但到网上搜索却有结果,是“AV终结者新变种”释放的文件,怪不得在清除它前,我打不开病毒相关的网页。在清理助手扫过后重启,IFEO的劫持项终于可以删除干净了。

  清除上面的绝大部分文件(此时我还没注意到那个userinit.exe),并清空系统临时文件(temp)和IE缓存(这些都可能是病毒木马的藏身地,一定要清一下)后,重启,桌面却还没回来。再次检查日志,才发现这么个可疑的地方

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINNT\system32\userinit.exe,> []

这个文件没通过微软文件校验(Verified),以前我记得都有的,到文件夹中找到userinit.exe这个文件,查看它的属性,大小、日期都正常,唯一可疑的是属性页中没有“版本”页,只有“常规”页。找了个正常的userinit.exe文件对比一下,属性中应该有“版本”页的。用正常的userinit.exe覆盖,然后重启,桌面回来了。

  另外用机上装的卡卡助手检查(中毒时卡卡也跟着倒下了,直到我清除病毒后重启才又在任务栏重新冒出图标,原来还有装卡卡,呵呵),发现病毒还修改了IE主页,指向about.blank.la,正常的空白页是about blank,而前面那个是个网址,明显在假冒空白页。最后检查又发现自动更新不能启动,里面所有选项都是灰色的。这简单,进入注册表:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows 下找WindowsUpdate,把WindowsUpdate删除,就OK了。

  到此全部修复,桌面也回来了。总结,看日志要仔细,日志之外还可能有其它病毒文件,多工具综合使用,强力工具的使用(要有驱动级删除能力)。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/35.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号