|
|
| 关于~~.exe病毒修改MMC,造成系统难以完全修复的解决方案 |
| 作者 depressedboy 查看 266 发表时间 2008/7/31 17:15 【论坛浏览】 |
kynq
kynq
| 引用: | 样本:http://bbs.janmeng.com/thread-782958-1-1.htmlkynq
此病毒从日志上来看,是修改了MMC.EXE文件,如果贸然用正常的系统文件替换,就会造成系统崩溃。kynq
由于sigverif工具无法正确验证数字签名(主要是那个mmc.exe,而user32.dll可以验证,gpedit.msc不肯验证),procmon在监控没完成的情况下退出,所以没能观察到系统文件的文化。后来看了baohe和花谢花飞飞满天的分析,受到启发。事先分别用sreng2检查了系统文件夹的文件签名,用a8a9备份了windows下的可执行文件的MD5,system32下的dll和exe文件的MD5,drivers目录下的sys文件的MD5。kynq
运行病毒后没作任何操作便重启,以尽量接近中毒情况。kynq
重启后用sreng2扫了个报告(见附件)kynq
SREngLOG.rarkynq
,日志处理方案见附件(经cchao21提醒,漏掉一个,更新了。谢谢21)。kynq
用a8a9检查先前文件的MD5变化,结果发现winhlp32.exe和user32.dll两个文件MD5值有变化,MMC因正在运行,无法检查。其它文件未见变化(系统中不同位置的两个beep.sys虽然被病毒修改,但MD5没变,只是修改时间变了,这个问题在BAOHE的帖子后我作了说明。而gpedit.msc文件未改动--MD5值没变)。kynq
于是先替换winhlp32.exe和user32.dll文件,然后用xdelbox处理日志中出现的病毒文件。重启系统未见异常。至于mmc.exe和其它非活动状态病毒文件我就不用处理了(我是在虚拟机中运行病毒的)。 kynq
kynq
关键文件:user32.dll!!!!!!!!(和花儿的观察有点不同,userinit.exe未被感染,可能环境有所不同)。kynq
kynq
疑问:kynq
1、有点奇怪:sreng2怎么没能反映user32.dll 这个文件的异常?kynq
2、c:\windows\system32\drivers\msiffei.sys这个文件无论在windows下用冰刃看,还是用xd删除时都未发现?kynq
3、beep.sys的“修改时间”变了,但MD5没变,这是为何?kynq
kynq
现提供大部病毒。见http://bbs.janmeng.com/viewthrea ... &extra=page%3D1 |
|
kynq
kynq
kynq
| 引用: | 解决方案kynq kynq
1、先用系统文件替换工具替换被病毒修改的文件user32.dll和winhlp32.exe。kynq
kynq
2.建议使用XDelBox(删除以下文件:(XDelBox1.7下载)kynq
xdelbox使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择“从剪贴板导入不检查路径”,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。kynq
kynq
c:\0000a24d\236089kynq
c:\windows\system32\myusemtk.exekynq
c:\windows\system32\cedafb.dllkynq
c:\windows\system32\ddserh.dllkynq
c:\windows\system32\dndsaf.dllkynq
c:\windows\system32\fmcvxy.dllkynq
c:\windows\system32\fsrgeb.dllkynq
c:\windows\system32\hhrdxd.dllkynq
c:\windows\system32\jdsaex.dllkynq
c:\windows\system32\jhfrxz.dllkynq
c:\windows\system32\knx32.dllkynq
c:\windows\system32\mttwfh.dllkynq
c:\windows\system32\sgdewg.dllkynq
c:\windows\system32\tdffdl.dllkynq
c:\windows\system32\tdfhex.dllkynq
c:\windows\system32\tdggrz.dllkynq
c:\windows\system32\wklsdd.dllkynq
c:\windows\system32\wyrsdj.dllkynq
c:\windows\system32\zefdst.dllkynq
c:\windows\system32\zgtwfx.dllkynq
c:\windows\system32\zsdgff.dllkynq
c:\windows\system32\zycdex.dllkynq
c:\windows\system32\myusemt.dllkynq
c:\windows\system32\wcnonpe.dllkynq
c:\windows\system32\woswelc.dllkynq
c:\windows\system32\googlons.dllkynq
c:\windows\system32\welyri.dllkynq
c:\windows\system32\rmbsony.dllkynq
c:\windows\system32\jolinos.dllkynq
c:\windows\system32\jolin0.dllkynq
c:\windows\system32\offscrl.dllkynq
c:\windows\system32\hourpx2.dllkynq
c:\windows\system32\therbrek.dllkynq
c:\windows\system32\keyiftp.dllkynq
c:\windows\system32\dearnts.dllkynq
c:\windows\system32\xfimerl.dllkynq
c:\windows\system32\knx32.exekynq
c:\windows\system32\svchost.xy3kynq
c:\windows\system32\drivers\msiffei.syskynq
kynq
3.删除重启后使用SREng修复下面各项:kynq
kynq
启动项目 -- 注册表之如下项删除:kynq
[{7914E0AA-ECCB-4311-B584-C49538227824}] kynq
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] kynq
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] kynq
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] kynq
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] kynq
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] kynq
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] kynq
[{84143967-B645-4BFF-B873-DA1DC886E9A7}] kynq
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] kynq
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] kynq
[{006CA8A1-61BC-4774-A54C-F49034270BAD}] kynq
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] kynq
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] kynq
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] kynq
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}] kynq
[{28EB3777-3E23-4E72-8449-A992D09D24C3}] kynq
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] kynq
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] kynq
[{021F087F-4378-545F-74FA-37D345AD7A8C}] kynq
注意该项[AppInit_DLLs]修改:把修改为<>即清空kynq
[kcodn] kynq
注意该项[Userinit]修改:把修改为逗号不可省略kynq
kynq
启动项目 -- 服务-- 驱动程序之如下项禁用:kynq
[msiffei / msiffei] kynq
kynq
4、替换被病毒修改的mmc.exe文件。kynq
kynq
**************以上分析报告由SREngLog分析助手提供******************kynq
分析:byxxdrlskynq
时间:2008-7-30kynq
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生) |
|
kynq
from:http://bbs.janmeng.com/thread-783756-1-1.html |
