病毒MSDOS.EXE新变种的查杀 bbs.ikaka.com

baohe - 2008-7-27 20:31:00

这个垃圾病毒最近有点儿来劲儿了！

今天又见一变种（MD5值：4e79a2c539481625ee244437e82ea981）。中招后，这个变种比前几个热闹点儿。瑞星20.54.51不报。

查杀流程如下

1、将IceSword.exe改名为IS.exe运行。
2、禁止进程创建。用IS.exe强制删除下列文件：

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
C:\Program Files\Internet Explorer\10.pif
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
c:\windows\system32\browsui.dll
C:\WINDOWS\system32\chdkk.exe
c:\windows\system32\drivers\dftzm2.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\vhqdteqsj.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe
c:\program files\common files\cpush\cpush.dll
c:\documents and settings\all users\application data\microsoft\pctools\pctools.dll
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\botinfs
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\bots
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\service
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\services
C:\Documents and Settings\baohelin\My Documents\My Web Sites\_vti_pvt\service.lck
各分区根目录下的MSDOS.EXE和autorun.inf
C:\System Volume Information目录下的所有文件夹

3、删除病毒添加的加载项（图中绿色高亮显示内容）。

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

aaccbbdd - 2008-7-27 20:39:00

c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了？

baohe - 2008-7-27 20:55:00

引用:

原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了？

被病毒改写了

病毒通过添加IFEO劫持项，将多种杀毒辅助工具劫持到病毒程序c:\windows\system32\dllcache\wuauclt.exe

aaccbbdd - 2008-7-27 20:59:00

引用:

原帖由 baohe 于 2008-7-27 20:55:00 发表

引用:

原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了？

被病毒改写了

病毒通过添加IFEO劫持项，......

不是覆盖式写入吧？

baohe - 2008-7-27 21:11:00

引用:

原帖由 aaccbbdd 于 2008-7-27 20:59:00 发表
[quote] 原帖由 baohe 于 2008-7-27 20:55:00 发表
[quote] 原帖由 aaccbbdd 于 2008-7-27 20:39:00 发表
c:\windows\system32\wuauclt1.exe
c:\windows\system32\dllcache\wuauclt.exe被病毒替换了......

不清楚
总之，是被病毒改写了。

白痴一个 - 2008-7-27 21:14:00

请问下这个病毒是通过什么方式传播的:kaka2:

tjcum210210 - 2008-7-27 21:28:00

改写c:\windows\system32\dllcache里的东西，好恐怖:kaka8:

aaccbbdd - 2008-7-27 21:30:00

引用:

原帖由 tjcum210210 于 2008-7-27 21:28:00 发表
改写c:\windows\system32\dllcache里的东西，好恐怖:kaka8:

弄得只能从别的计算机拷文件了:default2:

baohe - 2008-7-27 21:30:00

引用:

原帖由 白痴一个 于 2008-7-27 21:14:00 发表
请问下这个病毒是通过什么方式传播的:kaka2:

可通过U盘传播

baohe - 2008-7-27 21:32:00

引用:

原帖由 aaccbbdd 于 2008-7-27 21:30:00 发表

引用:

原帖由 tjcum210210 于 2008-7-27 21:28:00 发表
改写c:\windows\system32\dllcache里的东西，好恐怖:kaka8:

弄得只能从别的计算机拷文件了:default2:

如果你没删除系统分区的I386目录中的文件，可以从那个目录下拷贝文件（自己加上相应后缀即可）。

fairsentence - 2008-7-30 0:36:00

那个dllcache相当于是备份吧，会影响当前系统运行吗？

fairsentence - 2008-7-30 0:38:00

怎么禁止进程创建？

baohe - 2008-7-30 8:55:00

引用:

原帖由 fairsentence 于 2008-7-30 0:38:00 发表
怎么禁止进程创建？

看下面两个图

闪电风暴 - 2008-7-30 19:10:00

Disable cooperator好像没有多少必要吧。

GREscript - 2008-7-31 20:01:00

可是我连注册表都打不开,这怎么搞,好象被这个毒禁掉了,总说被另一个程序在使用
ps:要是原来没有装那个ICESWORD.EXE能够在中毒之后装吗?

baohe - 2008-7-31 21:13:00

引用:

原帖由 GREscript 于 2008-7-31 20:01:00 发表
可是我连注册表都打不开,这怎么搞,好象被这个毒禁掉了,总说被另一个程序在使用
ps:要是原来没有装那个ICESWORD.EXE能够在中毒之后装吗?

ICESWORD不用安装。

fantasy97 - 2008-7-31 22:18:00

早点看到这篇文章就好了

ncn2988 - 2008-8-3 19:16:00

引用:

原帖由 fantasy97 于 2008-7-31 22:18:00 发表
早点看到这篇文章就好了

过来人啊!有经历才有经验

叶の影 - 2008-8-6 14:23:00

现在病毒改写系统文件不奇怪了``

瑞星卡卡安全论坛