下载文件中毒,该电脑上装的杀毒软件NOD32自动退出,且无法再打开和重新安装,所有的杀毒软件的网站都打不开,但其它的网站访问正常。就其症状,很似AV终结者病毒,其实就是映像劫持(IFEO)。
清除方案如下(操作可参考怎样根据SREng日志的分析报告清除病毒):
1.删除以下文件:
c:\windows\tinlater.exe
c:\windows\system32\drivers\6b5a2595.sys
c:\windows\temp\100131500.dll(以下这些都在临时文件夹中)
c:\windows\temp\10162484.dll
c:\windows\temp\110074437.dll
c:\windows\temp\120082500.dll
c:\windows\temp\140146484.dll
c:\windows\temp\160203656.dll
c:\windows\temp\170099500.dll
c:\windows\temp\180125484.dll
c:\windows\temp\190173484.dll
c:\windows\temp\20178484.dll
c:\windows\temp\210189609.dll
c:\windows\temp\250194578.dll
c:\windows\temp\50117484.dll
c:\windows\temp\60154484.dll
c:\windows\temp\70090484.dll
c:\windows\temp\80106484.dll
2.使用SREng修复下面各项:
启动项目 -- 注册表,删除如下的IFEO项(SREng会用红色标示出这些IFEO项,很容易区分):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
[360hotfix.exe] <ntsd -d>(360从来都是重要目标,不知道瑞星会不会嫉妒)
[360rp.exe] <ntsd -d>
[360rpt.exe] <ntsd -d>
[360safe.exe] <ntsd -d>
[360safebox.exe] <ntsd -d>
[360sd.exe] <ntsd -d>
[360se.exe] <ntsd -d>
[360SoftMgrSvc.exe] <ntsd -d>
[360speedld.exe] <ntsd -d>
[360tray.exe] <ntsd -d>
[ast.exe] <ntsd -d>
[avcenter.e] <ntsd -d>
[avgnt.exe] <ntsd -d>
[avguard.exe] <ntsd -d>
[avmailc.exe] <ntsd -d>
[avp.exe] <ntsd -d>(卡巴)
[avwebgrd.exe] <ntsd -d>
[bdagent.exe] <ntsd -d>
[CCenter.exe] <ntsd -d>
[ccSvcHst.exe] <ntsd -d>
[egui.exe] <ntsd -d>(NOD32)
[ekrn.exe] <ntsd -d>
[kavstart.exe] <ntsd -d>
[kissvc.exe] <ntsd -d>
[kmailmon.exe] <ntsd -d>
[kpfw32.exe] <ntsd -d>
[kpfwsvc.exe] <ntsd -d>
[krnl360svc.exe] <ntsd -d>
[kswebshield.exe] <ntsd -d>
[KVMonXP.kxp] <ntsd -d>
[KVSrvXP.exe] <ntsd -d>
[kwatch.exe] <ntsd -d>
[livesrv.exe] <ntsd -d>
[Mcagent.exe] <ntsd -d>
[mcmscsvc.exe] <ntsd -d>
[McNASvc.exe] <ntsd -d>
[Mcods.exe] <ntsd -d>
[McProxy.exe] <ntsd -d>
[McSACore.exe] <ntsd -d>
[Mcshield.exe] <ntsd -d>
[mcsysmon.exe] <ntsd -d>
[mcvsshld.exe] <ntsd -d>
[MpfSrv.exe] <ntsd -d>
[MPMon.exe] <ntsd -d>(连微点也加进来了)
[MPSVC.exe] <ntsd -d>
[MPSVC1.exe] <ntsd -d>
[MPSVC2.exe] <ntsd -d>
[msksrver.exe] <ntsd -d>
[qutmserv.exe] <ntsd -d>
[RavMonD.exe] <ntsd -d>(瑞星不用难过,也在队伍中)
[RavTask.exe] <ntsd -d>
[RsAgent.exe] <ntsd -d>
[rsnetsvr.exe] <ntsd -d>
[RsTray.exe] <ntsd -d>
[safeboxTray.exe] <ntsd -d>
[ScanFrm.exe] <ntsd -d>
[sched.exe] <ntsd -d>
[seccenter.exe] <ntsd -d>
[SfCtlCom.exe] <ntsd -d>
[TMBMSRV.exe] <ntsd -d>
[TmProxy.exe] <ntsd -d>
[UfSeAgnt.exe] <ntsd -d>
[vsserv.exe] <ntsd -d>
[zhudongfangyu.exe] <ntsd -d>(360的主动防御)
[修复工具.exe] <ntsd -d>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[ms-tl / Ms-tl_Srv] <C:\WINDOWS\tinlater.exe>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[6B5A2595 / 6B5A2595] <\??\C:\WINDOWS\system32\drivers\6B5A2595.sys>
其实这种劫持方式应该算比较老套了,好一点的防御与监控应该可以盯死IFEO项,不知道NOD32是不是应该在这一点上改进些。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/715.html
