瑞星卡卡安全论坛

刚进这个论坛所以发错地方！发到站务去了！版主原谅！！所以跑到病毒专题再发一遍！

这种病毒类似鬼影病毒，我试过低级格盘，用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区，拔过主板电池放电 换掉内存 就差换主板了！重装系统后下载文件依然是243K出现，这个243K文件运行后在C:\WINDOWS\system  生成4个文件一.MSAPI  （设备驱动程序） 259K 二.WINDNSAPI.IME  （IME）文件 44K  三.MSSETUP.TSK  （TSK文件）244K  同时在C:\Documents and Settings\Administrator\Local Settings\Temp 会随着你对系统操作产生病毒文件上面4个文件其中的或许还有其他的太多了没记录下 随后系统会遭到破坏 网站中文字被变成框框就像正方形□□杀毒软件都变了！搞这个毒我快疯掉了好久了！我这边有下载下来的病毒安装文件243K那个我打了压缩包，那位大侠敢接过去研究下！！！！补充下，此病毒局域网感染，可以感染无盘服务器！



二。用鬼影专杀没用,检测不到  硬盘用工具查看扇区一堆数字和编码真不知道哪个是正确的! 用多种工具刷过    mbr和修复引导扇区 我不知道病毒是不是可以保护刷写还是老版的重写引导软件没有效果 ！
三。病毒跟踪日志：今天又发现一个新情况由杀毒软件拦截的一个病毒名为mupdate.exe 此文件寄生在360safe\safemon\mupdate.exe 中 我只要初次点开IE 首页为hao123 在里面百度搜索 点击搜索便会自动转到下载 启动迅雷 和系统自带的下载器 下载243K文件！
我截了图在上面！
希望大家能帮帮忙，再百度以发表此文 可惜啊还没有一个通用的解决办法！
声明：下面的附件不是专业杀毒强人不要乱下载打开，中了毒别骂我！！这毒好厉害！！

用户系统信息：Mozilla/4.0 (Compatible win32 72.122.5.167; MSIE 6.0; Windows NT 5.1; SV1)

附件: inst.rar

附件: 未命名.jpg

楼主，看不到图片啊，显示只供百度交流使用，请重新传一些图片，参见http://bbs.ikaka.com/showtopic-8616820.aspx

这个中毒症状是类似这种么？针对鬼影变种的手动查杀方式倒是有，不知道楼主所说的更厉害的表现是如何的，图片，快快:kaka17:

站务里面的图片 已经刷新出来 你可以看看！！刚刚发错地方！硬盘引导查看的那些图片我没截下 因为密密麻麻 各个硬盘数据好像都不是一样的！
有病毒样本，反正鬼影专杀 查不出无效！ 反正也是重装无效  修复引导无效…………

补充图片

没什么强不强的

引导区恢复后是不会再有所谓引导区病毒的

最大的可能性是你使用了被感染的原磁盘保留的文件，例如硬件驱动以及杀毒软件等安装包，很多人都是选择保留的，不放弃的。

再有就是局域网其他电脑影响你

如果你不解决局域网内包含此毒的电脑，就没办法解决问题的。

建议楼主到一个没中毒的电脑里下载瑞星防火墙或者 RIS处理。你重装过系统了，所以排除你自己电脑的问题，只能是局域网里某个电脑进行的ARP攻击，你必须连接到你的局域网 之前做好ARP攻击防御（最好在安装瑞星防火墙/RIS并开启ARP欺骗防御之后再把网线接上）。然后就是处理完你自己的东西，按天月老大的方法去做吧。另外，建议你们的网管检查ARP表，找到攻击源

本人虽然菜！但是版主大人断开局域网 独立查杀和处理我还是明白的！！只要搞定了一台其他还是问题麽？关键是一台单独进行处理都没解决！
还有希望版主大人，下载那个病毒包 帮忙分析下 :kaka4: 谢谢勒！！！本人愚钝求解！

还要强调，我既然知道下载的东西有问题，我从来都不会保留原盘的文件，硬盘都低格了，我还能怎么的？

一台单独进行处理都没解决？？？

你意思是单独一台全格以后，并且恢复引导区以后，重装新系统

在单独的宽带中，还是会那样异常？？

不可能的吧？？

http://bbs.ikaka.com/showtopic-8739071.aspx

已在上面帖子的5楼回复你了


那个inst.exe与鬼影不相干。

用什么系统盘做系统的？

正是单独查杀 单独网络 搞不定我才 发出来 大家看看的！！要不我也不会那么烦恼啊！！
楼主大人，我再怎么不济 那些断网查杀 断开局域网的基本常识还是晓得的！！

硬装系统和GHOST系统都用过！！！能试的都试勒！

猫叔的办法都不行吗，建议你从别的机子里考吧，现在的互联网——一切皆有可能:kaka7:

下载BOOTICE工具，查看磁盘引导区类型，抓图来看：
附件：BOOTICE_0.75.rar


我现在就想知道，在恢复引导区那，是否恢复正确

还有是否一直在单独的一个无其他任何电脑的单独的宽带内还是这样的异常

是否用过自己保存的原磁盘的任何文件？？

包括硬件驱动文件，包括保存在磁盘上的一些安装文件等。

因为目前看，引导区恢复正确后，在光盘安装新系统后，只要单独网络，没其他电脑影响，不使用其他盘保存的任何文件

那么连网后，一开始绝不可能有病毒的。

大版主说轻松搞定勒！！希望他能把图片转过来！可疑文件交流区那些图片都看不见！！
麻烦大版主勒！！

从图片来看，MBR没问题，不是鬼影。应该考虑是局域网因此或者安装的某些软件有问题。

轻松搞定运行inst.exe之后生成的病毒和搞定下载inst.exe的问题是两回事。

注意我加了“可能”2个字，重装系统和PE下格掉所有盘，病毒再生！！既然应用了病毒再生技术，又怎么不可以说是鬼影？这个话题没有讨论必要性！
关键需要解决问题，谢谢！！:kaka7:

首先病毒会创建如下文件
%Windir%\system\MSAPI.DRV
%Windir%\system\MSSETUP.TSK
%Windir%\system\WINDNSAPI.IME
%Windir%\system\MSWINDOW.DRV
病毒文件插入如下系统进程
msApi.drv %Windir%\system\msApi.drv Process name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1ED0000 - 0x1F1E000


windnsapi.ime %Windir%\system\windnsapi.ime Process name: msmsgs.exe
Process filename: %ProgramFiles%\messenger\msmsgs.exe
Address space: 0x10000000 - 0x1000C000


windnsapi.ime %Windir%\system\windnsapi.ime Process name: sdnsmain.exe
Process filename: %Windir%\dns\sdnsmain.exe
Address space: 0x14E0000 - 0x14EC000


windnsapi.ime %Windir%\system\windnsapi.ime Process name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1940000 - 0x194C000


注册表文件分析 ，病毒创建了如下注册表键值并修改


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "msSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000]
Service = "msSystem"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "System device driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Enum]
0 = "Root\LEGACY_MSSYSTEM\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem]
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%Windir%\system\MSSYSTEM.DRV"
DisplayName = "System device driver"
version = "Jun 15 2010"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "msSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000]
Service = "msSystem"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "System device driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Enum]
0 = "Root\LEGACY_MSSYSTEM\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem]
Type = 0x00000001
Start = 0x00000002
ErrorControl = 0x00000001
ImagePath = "%Windir%\system\MSSYSTEM.DRV"
DisplayName = "System device driver"
version = "Jun 15 2010"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent]
Compatible = "Compatible win32 186.103.69.35"
这个是个百度论坛的朋友用虚拟机启动病毒分析到的！和大版主的分析有出入！！

今天又发现了一个可怕的事情，我拔掉硬盘！然后插入PE启动光盘！然后用PE系统下载文件，前提是单独的网络进行下载 就一台主机 然后下载文件依然会被改变成243K的文件！内存大家想下关闭计算机后 里面数据清空了 没理由还有毒！！主板CIH病毒？但是中毒特征不像？我试过用拨号上网就用猫直接连 或加上路由连接 结果都一样，我想猫没有中毒的例子？难道是电信问题！！迷惑勒！！

电信是出过问题的呀。你换一下宽带连接的DNS试试呢（换成8.8.8.8）

我今晚也中了鬼影(杀毒软件提示的)...暂时没有楼主的厉害...不过我想知道楼主最后是怎样解决你这个难题的...
楼主还看到这贴的话就回一下吧:kaka1: