usp10.dll木马群的手工杀毒流程

我的生活的家 · 发表于 2012-5-18 13:38:10

病毒样本来自剑盟飞鹤星飞帆。文件大小：38.4飞鹤乳业有限公司K；MD5值：395黑龙江飞鹤乳业有限公司d9da8489b1飞鹤星飞帆669f45511。[url=http://www.pygyyq.com/show.asp?id=10301]黑龙江飞鹤乳业有限公司[/url69f45511。

这个木马群貌似是机器狗的变种，但中招后比原来的旧版机器狗难杀。原因在于：

1、此毒的驱动msiffei.sys加载后恢复SSDT，可用的工具大多失效。
2、此毒在非系统分区含.exe文件的所有文件夹中释放病毒程序usp10.dll。这个dll貌似随explorer.exe运行。因此，中招后重装系统者（仅仅改变系统分区内容）往往出现“重装后系统依然带毒”的情形。
3、连接网络的状态下，此毒下载明目繁多的“随机数字”名（无后缀）病毒程序。这些程序加载后，在%system%目录下逐一释放病毒dll（很多）。
4、此毒在%windows%\Tasks\目录下释放一个名为“1”（无后缀）的病毒文件，手工杀毒时，此文件容易被中招者忽略。
5、此毒还释放下列病毒文件：
C:\windows\fonts\ComRes.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
c:\program files\internet explorer\powernent.onz
6、此毒比较阴损，通过替换系统驱动beep.sys替换系统程序userinit.exe，还篡改win.ini文件。在中毒状态下，查看被篡改的win.ini文件的内容——————无异常。如果中招用户仅仅将后面附表中所列的病毒文件统统删除，而忘记将这两个重要系统文件复原，那么下次系统启动时，用户无法进入系统。

使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程：

1、先打开WINRAR，查看当前用户临时文件夹Temp、C:\WINDOWS\Fonts、C:\Program Files\Internet Explorer\等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。
2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中（图1）。
3、用U盘从正常同类系统的电脑上拷贝C:\WINDOWS\ win.ini（改名为0.txt）以及C:\WINDOWS\system32\userinit.exe（改名为0.exe），然后，将U盘中的C:\WINDOWS\0.txt和C:\WINDOWS\system32\0.exe分别拷贝到％WINDOWS％目录和％system％目录下。
将下列内容也粘贴到上述记事本文件中：
dos#ren C:\WINDOWS\0.txt win.ini
dos#ren C:\WINDOWS\system32\0.exe userinit.exe
4、全选记事本文件的所有内容（图1），按ctrl_C。

5、打开XDELBOX，右击XDELBOX窗口，点击：“剪贴板导入不检查路径”。将病毒程序名全部导入（图2）。

6、点击“抑制再生”（图3）

7、右击XDELBOX窗口，点击“立即重启执行删除”（图4）。

系统重启后，XDELBOX进入DOS环境，逐一将导入的病毒程序删除，并将C:\WINDOWS\0.txt 改名为win.ini；将C:\WINDOWS\system32\0.exe 改名为userinit.exe。然后重启到windows系统。
8、打扫一下垃圾（清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹；图5－图13）。然后，删除病毒添加的IFEO劫持项（我这里见到的是劫持瑞星2009和迅雷）。
最后，将hosts文件中病毒添加的内容删除，保存hosts。

图5：

图6：

图7

图8

图9

图10

图11

图12

图13

注意：appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后，自己再重建一个，填上正常的键值即可（瑞星用户此键值是kmon.dll）

————————————————————

附上我完全中招后找到的全部病毒文件列表（病毒文件名是变化的。此表仅供参考）：

C:\Documents and Settings\baohelin\Local Settings\Temp\109ef1.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\1157238
C:\Documents and Settings\baohelin\Local Settings\Temp\5F.tmp.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\b.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\WowInitcode.dat
C:\Documents and Settings\baohelin\Local Settings\Temp\wsasystem.gif
C:\Documents and Settings\baohelin\Local Settings\Temp\11231237
C:\Documents and Settings\baohelin\Local Settings\Temp\1437460
C:\Documents and Settings\baohelin\Local Settings\Temp\1518277
C:\Documents and Settings\baohelin\Local Settings\Temp\1529262
C:\WINDOWS\system32\drivers\msiffei.sys
C:\WINDOWS\system32\drivers\beep.sys
c:\windows\system32\6BB957B4.dat
c:\windows\system32\anymie360.exe
c:\windows\system32\anymie360.dll
c:\windows\system32\anymie360.ini
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\oohelamb.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
c:\program files\internet explorer\powernent.onz
c:\windows\system32\Drivers\msiffei.sys
c:\windows\system32\6bb957b4.dat
c:\windows\system32\bmnejfck.dll
C:\windows\fonts\ComRes.dll
C:\windows\Tasks\1
e:\usp10.dll
c:\windows\fonts\comres.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
C:\WINDOWS\Fonts\CtmRes.dll

		自动登录	找回密码
密码			立即注册