由于在实机运行,为防不测,先作了个备份,把EXPLORER.EXE,USERINIT.EXE,SVCHOST.EXE等等的一些关键文件都备份了下(后面证明偶是对滴)
先扫描份日志,以作对比
切换组策略软件限制文件,将限制去除,防止病毒安装不完全
运行病毒,眼睁睁的看着它下载了好些东东
然后看着稳定了,重启计算机
启起来后等了半天,只有个壁纸,启动起任务管理器来,EXPLORER在里面,结束,再启动EXPLORER,没反应,且用任务管理器启动大部分软件都没反应。无奈之下启动了CMD,有反应了,接着用CMD启动WSYSCHECK和SRENG,扫描日志后发现有大量DLL注入进程。
重启,进PE(偶的杀手锏),利用wangsea大大的scanvirus,扫描,删除病毒的启动项和劫持项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<WinSysM><C:\WINDOWS\914847M.exe> [N/A]
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<fmsbbqi><C:\WINDOWS\fmsbbqi.exe> []
<wqveobqr><C:\WINDOWS\qebrilpz.exe> []
<WINSvr32><C:\WINDOWS\WINSvr32.exE> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll> [(Verified)Microsoft Windows Component Publisher]
<{228DF602-9541-A985-210A-984A698C6F22}><C:\WINDOWS\system32\ptjhbhlp.dll> []
<{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}><C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys> [N/A]
<{1629FF4F-ACDB-5C90-A098-FACB3456A261}><C:\WINDOWS\system32\mpmyaapi.dll> []
<{6ce08af1-5f70-4c1a-8d1a-8aba11619e87}><ayFKKFKK1055.dll> []
IFEO就不写了,在日志里的都是
这家伙的驱动真不少,temp文件夹里的驱动好像都是加载上就删除的
全删除
[dohs / dohs][Stopped/Auto Start]
<\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp28.tmp><N/A>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[mnsf / mnsf][Stopped/Auto Start]
<\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp2D.tmp><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[ping / ping][Stopped/Auto Start]
<\??\C:\DOCUME~1\SA\LOCALS~1\Temp\tmp2B.tmp><N/A>
至于这个
[crsyyzvshwva / crsyyzvshwva][Running/Manual Start]
<\??\C:\DOCUME~1\SA\LOCALS~1\Temp\jdkqojpztlgp><N/A>
应该是wangsea大大的wsyscheck的驱动,不管
删除浏览器加载项
[]
{1629FF4F-ACDB-5C90-A098-FACB3456A261} <C:\WINDOWS\system32\mpmyaapi.dll, N/A>
[]
{228DF602-9541-A985-210A-984A698C6F22} <C:\WINDOWS\system32\ptjhbhlp.dll, N/A>
[]
{6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>
由于无法检测
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>键值
我就留着等进系统的时候删
在PE里利用修改时间判断并将病毒文件收集起来,忽然发现个问题,WIN.INI和EXPLORER被改了,将EXPLORER覆盖回来,将WIN.INI里的几行屏蔽
;[mhfp]
;mhfp=msosmhfp00.dll
;[dohs]
;dohs=msosdohs00.dll
;[ping]
;ping=msosping00.dll
;[mnsf]
;mnsf=msosmnsf00.dll
重启机器,进系统
看了看WSYSCHECK,进程里还有很多的DLL,那个应该是
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>键值里的,修改不回来,貌似有监控的
用XDELBOX填上路径,一并删
[C:\WINDOWS\system32\kduy.dll] [N/A, ]
[C:\WINDOWS\system32\dnteh.dll] [N/A, ]
[C:\WINDOWS\system32\lariytrz.dll] [N/A, ]
[C:\WINDOWS\system32\xfgnxfn.dll] [N/A, ]
[C:\WINDOWS\system32\sehhter.dll] [N/A, ]
[C:\WINDOWS\system32\fjyjy.dll] [N/A, ]
[C:\WINDOWS\system32\msepbe.dll] [N/A, ]
删完重启,修改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>键值为空
完成
这个病毒用到了mspaint.exe,以前看过好像机器狗还是磁碟机来着也用这个文件,不知为何(加载驱动?),请达人指教
相比悠管,偶还是比较幸运的,可能是网速慢的问题,病毒下的好像不如悠管的多,就只能测试到这里了
整篇文章如流水帐般无味,没一点技术含量,全是用了大大们的工具,主要跟偶的语文水平和技术水平有关,大家忍忍吧
附病毒运行前日志和运行后日志
您的位置: 