瑞星卡卡安全论坛

病毒样本来自剑盟。文件大小：38.4K；MD5值：395d9da8489b15e0a201460669f45511。

这个木马群貌似是机器狗的变种，但中招后比原来的旧版机器狗难杀。原因在于：

1、此毒的驱动msiffei.sys加载后恢复SSDT，可用的工具大多失效。预先打开的IceSword，如果没有其它工具守护也会被此毒关掉。:default3:
2、此毒在非系统分区含.exe文件的所有文件夹中释放病毒程序usp10.dll（隐藏的）。这个dll貌似随explorer.exe运行。因此，中招后重装系统者（仅仅改变系统分区内容）往往出现“重装后系统依然带毒”的情形。
3、连接网络的状态下，此毒下载明目繁多的“随机数字”名（无后缀）病毒程序到当前用户临时文件夹Temp中。这些程序加载后，在%system%目录下逐一释放病毒dll（很多）。
4、此毒在%windows%\Tasks\目录下释放一个名为“1”（无后缀）的病毒文件，手工杀毒时，此文件容易被中招者忽略。
5、此毒还释放下列病毒文件：
C:\windows\fonts\ComRes.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf               
c:\program files\internet explorer\powernent.onz
6、此毒比较阴损，通过替换系统驱动beep.sys替换系统程序userinit.exe，还篡改win.ini文件。在中毒状态下，查看被篡改的win.ini文件的内容——————无异常。如果中招用户仅仅将后面附表中所列的病毒文件统统删除，而忘记将这两个重要系统文件复原，那么下次系统启动时，用户无法进入系统。


使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程：

1、先打开WINRAR，查看当前用户临时文件夹Temp、C:\WINDOWS\Fonts、C:\Program Files\Internet Explorer\等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。
2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中（图1）。

3、用U盘从正常同类系统的电脑上拷贝C:\WINDOWS\ win.ini（改名为0.txt）以及C:\WINDOWS\system32\userinit.exe（改名为0.exe），然后，将U盘中的C:\WINDOWS\0.txt和C:\WINDOWS\system32\0.exe分别拷贝到％WINDOWS％目录和％system％目录下。
将下列内容也粘贴到上述记事本文件中：
dos#ren C:\WINDOWS\0.txt win.ini
dos#ren C:\WINDOWS\system32\0.exe userinit.exe
4、全选记事本文件的所有内容（图1），按ctrl_C。


5、打开XDELBOX，右击XDELBOX窗口，点击：“剪贴板导入不检查路径”。将病毒程序名全部导入（图2）。



6、点击“抑制再生”（图3）



7、右击XDELBOX窗口，点击“立即重启执行删除”（图4）。



系统重启后，XDELBOX进入DOS环境，逐一将导入的病毒程序删除，并将C:\WINDOWS\0.txt 改名为win.ini；将C:\WINDOWS\system32\0.exe 改名为userinit.exe。然后重启到windows系统。

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

8、重新进入系统后，打扫一下垃圾（清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹；图5－图13）。然后，删除病毒添加的IFEO劫持项（我这里见到的是劫持瑞星2009和迅雷）。

最后，将hosts文件中病毒添加的内容删除，保存hosts。


图5：

图6


图7





图8



图9



图10



图11



图12




图13

注意：
1、appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后，自己再重建一个，填上正常的键值即可（瑞星用户此键值是kmon.dll）

2、有中招者反映：中此毒后，系统程序ctfmon.exe和rpcss.dll被病毒替换。我这里查过，对比中招前后的这两个文件的大小和MD5，均无改变。因此，未处理这两个文件。
如果有确实证据显示这两个文件被病毒搞了，请将其复原（从dllcache目录下拷贝到system32目录下；也可从未中此毒的电脑中拷贝这两个文件到已经手工杀毒后的中招电脑中）。

————————————————————

附上我完全中招后找到的全部病毒文件列表（病毒文件名是变化的。此表仅供参考）：

C:\Documents and Settings\baohelin\Local Settings\Temp\109ef1.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\1157238
C:\Documents and Settings\baohelin\Local Settings\Temp\5F.tmp.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\b.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\WowInitcode.dat
C:\Documents and Settings\baohelin\Local Settings\Temp\wsasystem.gif
C:\Documents and Settings\baohelin\Local Settings\Temp\11231237
C:\Documents and Settings\baohelin\Local Settings\Temp\1437460
C:\Documents and Settings\baohelin\Local Settings\Temp\1518277
C:\Documents and Settings\baohelin\Local Settings\Temp\1529262
C:\WINDOWS\system32\drivers\msiffei.sys
C:\WINDOWS\system32\drivers\beep.sys
c:\windows\system32\6BB957B4.dat
c:\windows\system32\anymie360.exe
c:\windows\system32\anymie360.dll
c:\windows\system32\anymie360.ini
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\oohelamb.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
c:\program files\internet explorer\powernent.onz
c:\windows\system32\Drivers\msiffei.sys
c:\windows\system32\6bb957b4.dat
c:\windows\system32\bmnejfck.dll
C:\windows\fonts\ComRes.dll
C:\windows\Tasks\1
e:\usp10.dll
c:\windows\fonts\comres.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
C:\WINDOWS\Fonts\CtmRes.dll

附件就是XDELBOX 1.8 ，无密码。

附件: XDELBOX.rar (2009-1-28 23:04:04, 1024.30 K)
该附件被下载次数 4134

我中毒以后，rpcss.dll和ctfmon.exe也被替换了，也要换回来。貌似这个病毒不会感染exe，昨天杀掉的，今天还没有复发的症状，还不错。

我正在研究这个病毒
但是一运行过会就蓝屏

恐怕不是同一个变种或运行环境/具体条件不同吧。我的rpcss.dll和ctfmon.exe正常（对比过运行病毒样本前后这两个文件的MD5）。

ctfmon.exe被感染了（机器狗搞的？？）

在剑盟猫叔你的回帖：

%temp%释放多个文件，应该是随机数字的（没后缀）


还有几个随机数字的dll文件

如果C:\WINDOWS\ win.ini和C:\WINDOWS\system32\userinit.exe这两个文件在删除其他病毒文件的情况下，不同时替换回来。

就会系统重启进不了吗？？

或者只将C:\WINDOWS\system32\userinit.exe文件替换回去，还是会因为C:\WINDOWS\ win.ini这个的影响，继续下载病毒？？？

一头雾水！:default3:

删除所有病毒文件，而不恢复C:\WINDOWS\system32\userinit.exe，就重启系统，你绝对傻眼。
至于被病毒改动的C:\WINDOWS\ win.ini，其中多出来的内容就是那堆病毒dll。

那么这个C:\WINDOWS\ win.ini是不是相同系统内的这个都是完全一样的呢？？

可以直接拿来替换？？？

貌似在那里见过

机器狗的变种

我查过我的本本以及另外一台台式机（都是XPSP2系统）的win.ini 内容，完全相同。 正常的win.ini内容为：

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo


处理这个文件，目的是去除此文件中病毒添加的内容。

我2000  sp4系统内是这样的：

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
asf=MPEGVideo2
asx=MPEGVideo2
ivf=MPEGVideo2
m3u=MPEGVideo2
mp2v=MPEGVideo
mp3=MPEGVideo2
mpv2=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2

不太懂:default1:
中招的机子win.ini文件会被改写？？

c:\windows\system32  下含有dll的都是病毒吗？

:default3:非也！
system32目录下有很多正常系统库文件（dll）

图5-图13的不会弄了  请高手赐教  另外也没有别的电脑 所以没有办法复制文件  其他的都模仿楼主弄了  不知道会不会有用？

那怎么分别呢？

会看日志的人，可以在SRENG或autoruns扫的完整日志中分辨出病毒dll。

大侠啊。。。你们说的东东 对于菜鸟来说真的有如天书啊 
我已经很努力的学习了 可是~~~~~:default3:

慢慢来吧。经验需要逐步积累。

:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WXP5OYE3\new2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WXP5OYE3\new6[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WXP5OYE3\new9[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WXP5OYE3\new26[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8\new10[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8\new16[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8\new19[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M2RPEXV8\new23
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODE3S5UV\new20[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODE3S5UV\new24[1].exe

我又发现了这些病毒 能不能用xde删除呢?就像你的帖子里教的那样

手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

再下载这工具清空你能清空的所有垃圾文件，不能清空的不管它
http://bbs.ikaka.com/attachment.aspx?attachmentid=479547

这的确天书，对我这种小菜鸟来说太复杂了，

Win.ini到底还有没有用？:kaka2:

嗯

又在QQ生成psapi.dll

附件: psapi.rar

我的win.ini和你们说的不一样
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[annie]
CaptureFile=
VideoDevice=0
AudioDevice=0
FrameRate=333333
UseFrameRate=1
CaptureAudio=1
WantPreview=1
MasterStream=-1
多了最后几行,有问题吗 帮我看看 
谢谢
看我id:default5: :default6:

忘了是XPSP2系统

前次办公室同事电脑中招，就犯了不恢复userinit.exe直接重启的疏忽，结果……:kaka18: