病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 杀毒一周记(周三篇)清除irmon32.dll、GuiHelp.sys病毒 »

杀毒一周记(周五篇)

  这算是杀毒一周记的最后一篇了,这次杀毒的几个特征,与前几篇有相似之处,但不同的是SREng能够运行,使得保留了一份日志。(注,以下内容是在win2000下进行的,所以系统目录是winnt,如c:\winnt,如果是xp系统,则要改成windows,如c:\windows)

  出现的问题是开机跳出“损坏的图像”的对话框,

损坏的图像

还有win.ini文件被修改(这是指正常的系统文件,在c:\winnt\下的),在末尾加了不少内容,如图所示:

win.ini文件被修改

除了这个正常的win.ini,在c:\winnt\system32下又出现一个win.ini文件,其内容如下(看样子是下载木马的链接):

2008-4-29=http://down.358baidu.cn/1.exe
2008-4-29=http://down.358baidu.cn/2.exe
2008-4-29=http://down.358baidu.cn/3.exe
2008-4-29=http://down.358baidu.cn/4.exe
2008-4-29=http://down.358baidu.cn/5.exe
2008-4-29=http://down.358baidu.cn/6.exe
2008-4-29=http://down.358baidu.cn/7.exe
2008-4-29=http://down.358baidu.cn/8.exe
2008-4-29=http://down.358baidu.cn/9.exe
2008-4-29=http://down.358baidu.cn/10.exe
2008-4-29=http://down.358baidu.cn/11.exe
2008-4-29=http://down.358baidu.cn/12.exe
2008-4-29=http://down.358baidu.cn/13.exe
2008-4-29=http://down.358baidu.cn/14.exe
2008-4-29=http://down.358baidu.cn/15.exe
2008-4-29=http://down.358baidu.cn/16.exe
2008-4-29=http://down.358baidu.cn/17.exe
2008-4-29=http://down.358baidu.cn/18.exe
2008-4-29=http://down.358baidu.cn/19.exe
2008-4-29=http://down.358baidu.cn/20.exe
2008-4-29=http://down.358baidu.cn/21.exe
2008-4-29=http://down.358baidu.cn/22.exe
2008-4-29=http://down.358baidu.cn/23.exe
2008-4-29=http://down.358baidu.cn/24.exe
2008-4-29=http://down.358baidu.cn/25.exe
2008-4-29=http://down.358baidu.cn/26.exe

  由于有SREng帮忙,处理起来就方便了:

1.删除以下文件(建议用带抵制删除对象再生的xdelbox或powerrmv来删除):

c:\documents and settings\user\local settings\temp\23.tmp
c:\documents and settings\user\local settings\temp\tmp1.tmp
c:\documents and settings\user\local settings\temp\tmp12.tmp
c:\documents and settings\user\local settings\temp\tmp16.tmp
c:\documents and settings\user\local settings\temp\tmp1a.tmp
c:\documents and settings\user\local settings\temp\tmpe.tmp
c:\winnt\bincdwsa.exe
c:\winnt\dionpis.exe
c:\winnt\fmbiost.exe
c:\winnt\fmsjhif.exe
c:\winnt\huifitc.exe
c:\winnt\issms32.exe
c:\winnt\mfchlp64.exe
c:\winnt\soundman.exe
c:\winnt\system32\9.exe
c:\winnt\system32\bincdwsa.dll
c:\winnt\system32\drivers\msosmsfpfis64.sys
c:\winnt\system32\drivers\msosmsp2p32.sys
c:\winnt\system32\fdaqxm.dll
c:\winnt\system32\fmbiost.dll
c:\winnt\system32\ijzcjx.dll
c:\winnt\system32\interne.exe
c:\winnt\system32\issms32.dll
c:\winnt\system32\mpmycapi.dll
c:\winnt\system32\msoscqit00.dll
c:\winnt\system32\msosdrop00.dll
c:\winnt\system32\msosfmsq00.dll
c:\winnt\system32\msosjtio01.dll
c:\winnt\system32\msosmhfp00.dll
c:\winnt\system32\msosmnsf00.dll
c:\winnt\system32\msosmnsf01.dll
c:\winnt\system32\msosping00.dll
c:\winnt\system32\msosptfs00.dll
c:\winnt\system32\mxavpw0.dll
c:\winnt\system32\nicozftp00.dll
c:\winnt\system32\ozfycbyt.dll
c:\winnt\system32\ptjhchlp.dll
c:\winnt\system32\sqmvjz.dll
c:\winnt\system32\sysdajhv.dll
c:\winnt\system32\uryzkr.dll
c:\winnt\system32\wocmyt.dll
c:\winnt\system32\ypcqchlp.dll
c:\winnt\system32\yzztemsn.dll
c:\winnt\system32\zptlbsys.dll
c:\winnt\system32\zxmsawin.dll
c:\winnt\system32\zywlaime.dll
c:\winnt\system32\zywmcime.dll
c:\winnt\system32\zyzxeime.dll
c:\winnt\winsvr64.exe 
 
2.删除重启后使用SREng修复下面各项:
 
    启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <issms32><C:\WINNT\issms32.exe>  []
    <dionpis><C:\WINNT\dionpis.exe>  [N/A]
    <bincdwsa><C:\WINNT\bincdwsa.exe>  []
    <fmsjhif><C:\WINNT\fmsjhif.exe>  [N/A]
    <huifitc><C:\WINNT\huifitc.exe>  [N/A]
    <mfchlp64><C:\WINNT\mfchlp64.exe>  []
    <WINSvr64><C:\WINNT\WINSvr64.exe>  []
    <fmbiost><C:\WINNT\fmbiost.exe>  []
    <SoundMan><SoundMan.exe>  [] 没有厂商名称,可疑的声卡驱动程序
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><SysDaJHv.dll,msosdrop00.dll,msosfmsq00.dll,msosmhfp00.dll,msosping00.dll,msoscqit00.dll,msosmnsf01.dll,nicozftp00.dll,msosptfs00.dll,msosjtio00.dll>  [] 这里用“编辑”方法,把AppInit_DLLs修改为空值即可
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{3A069845-2036-6084-9054-6087502480A3}><C:\WINNT\system32\ozfycbyt.dll>  [N/A]
    <{5A59145F-315D-BC23-AC1F-145DF81A34A5}><C:\WINNT\system32\zyzxeime.dll>  [N/A]
    <{328DF602-9541-A985-210A-984A698C6F23}><C:\WINNT\system32\ptjhchlp.dll>  [N/A]
    <{3629FF4F-ACDB-5C90-A098-FACB3456A263}><C:\WINNT\system32\mpmycapi.dll>  [N/A]
    <{3319A1F1-9410-9654-3201-345FFA349133}><C:\WINNT\system32\zywmcime.dll>  [N/A]
    <{40940F85-F015-14F1-A05F-F69858AC6D04}><C:\WINNT\system32\zptlbsys.dll>  [N/A]
    <{4A041F13-A111-12A3-B0CF-F99818AA68A4}><C:\WINNT\system32\zxmsawin.dll>  [N/A]
    <{17A924AF-1A5F-CF21-AB1D-1D5CF82A8A71}><C:\WINNT\system32\zywlaime.dll>  [N/A]
    <{40AF1289-F140-A140-D012-C1458759FC04}><C:\WINNT\system32\ypcqchlp.dll>  [N/A]
    <{5490415F-65F8-B5C5-D8BA-9405FB120545}><C:\WINNT\system32\yzztemsn.dll>  [N/A]
    <{3E387664-C799-4D62-B196-25776EF35C51}><C:\WINNT\system32\mxavpw0.dll>  []

后面是映像劫持,都是劫持到系统文件上以干扰我们的判断
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Loader.exe]
    <IFEO[360Loader.exe]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><SoundMan.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword]
    <IFEO[IceSword]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]
    <IFEO[Iparmor.exe]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe]
    <IFEO[kmailmon.exe]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras]
    <IFEO[ras]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep]
    <IFEO[runiep]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><svchost.exe>  [(Verified)Microsoft Windows 2000 Publisher]

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Help and Support / helpsvc]    <C:\WINNT\system32\interne.exe>
 
    启动项目 -- 服务-- 驱动程序之如下项禁用:
[cqit / cqit]    <9.exe>
[zftp / zftp]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp1.tmp>
[snpshot / snpshot]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\23.tmp>
[ptfs / ptfs]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp12.tmp>
[msp2p32 / msp2p32]    <\??\C:\WINNT\system32\drivers\msosmsp2p32.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINNT\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmpE.tmp>
[fmsq / fmsq]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp16.tmp>
[drop / drop]    <\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp1A.tmp>
 
    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINNT\system32\zywlaime.dll>
[]    <C:\WINNT\system32\ptjhchlp.dll>
[]    <C:\WINNT\system32\zywmcime.dll>
[]    <C:\WINNT\system32\mpmycapi.dll>
[]    <C:\WINNT\system32\ozfycbyt.dll>
[]    <C:\WINNT\system32\zptlbsys.dll>
[]    <C:\WINNT\system32\ypcqchlp.dll>
[]    <C:\WINNT\system32\zxmsawin.dll>
[]    <C:\WINNT\system32\yzztemsn.dll>
[]    <C:\WINNT\system32\zyzxeime.dll>

  最后别忘了修复c:\winnt\win.ini(去掉后面多余的,即上图中展开“+”号的部分),删除c:\winnt\system32下的win.ini(这个应该是下载木马的链接)

  东西不少,当然想偷懒就象我一样用windows清理助手先杀,漏下的再对照上面删除。虽然耗时间,不过相对前两篇的边试边做要轻松多了,以上文件前两篇的经历中也出现过,因为没日志无法说明,在这里一齐列出来了,虽然这几天杀毒病毒文件非常相似,但带来的影响和现象却有不同,不过方法是一样的,就算工具不能用,用肉眼,用经验还是能分辨出可疑的文件和项目来,再借助可以使用的辅助工具,一定可以搞定病毒。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/63.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2018 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号