先看看
清新阳光:
papa:
File:9.exe
Size: 11938 bytes
Modified: 2008年2月19日, 9:07:12
MD5: F5B757796A08718A70A9422C05615E29
SHA1: 285C37B1762B3256764530EA384282FE1F18BE4C
CRC32: 825746A3
1.病毒初始化,注册服务iCafe Update
服务相关信息
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Start: 0x00000003
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ImagePath: "\??\%system32%\system32\drivers\pcisvc.sys"
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\DisplayName: "iCafe Update"
释放%system32%\system32\drivers\pcisvc.sys (机器狗驱动)并替换userinit.exe文件
2.释放%system32%\system32\netsrv.dll挂钩WH_GETMESSAGE函数
可能会监控如下dll的加载,并使用cmd.exe /c ren "%s" "%s"的命令将他们重命名为tmp%d.temp的形式
KvTrust.dll
UrlGuard.dll
antispy.dll
safemon.dll
ieprot.dll
3.同时释放%system32%\system32\TIMPlatform.exe
该文件起到的是下载作用,会在%system32%目录下写入一个BOLE.INI的文件,该文件记录该病毒的版本和病毒下载列表的地址
同时可以检查病毒的最新版本下载:http://test.*.c0m/test.exe到c:\Update.exe
此次发现的病毒版本为VERSION=2008-2-3
病毒下载列表的地址为http://50.*.com/ri2.txt
4.以TAIL_ANTI的参数启动一个IE,但目的不明
5.TIMPlatform.exe以TAIL_JPG的参数启动IE读取BOLE.INI的配置文件下载病毒下载列表
并读取里面的下载地址下载木马
http://15.*.com/new/1.exe~http://*/new/18.exe
http://71.*.com/new/19.exe~http://11.*.com/new/30.exe
解决方法:
下载sreng:/Anti-virus/anti_virus_2292.html
重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘
删除如下文件
%system32%\system32\drivers\pcisvc.sys
%system32%\system32\netsrv.dll
%system32%\system32\TIMPlatform.exe
%system32%\system32\BOLE.INI
2.打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
iCafe Update
3.替换userinit.exe
从其他相同系统版本的机器中拷贝一个userinit.exe复制到%system32%\system32\下面覆盖同名文件
如果不能覆盖 打开任务管理器 结束userinit.exe
4.使用杀毒软件或者手工方法清除其他木马和病毒
可以使用某些杀软公司出品的机器狗专杀。
您的位置: