最近不少网友反映主页被锁定为main.94ak.com,导致这个问题的原因其实就是最近风行的一个名为soS.Exe的病毒所致,该病毒以前写过很多文章了,但发现最近该病毒正通过移动存储,大量的网页挂马和局域网arp欺骗方式疯狂传播,而且会下载大量木马,甚至包括机器狗病毒,中毒者机器基本接近崩溃,因此下面把该病毒的完整解决方案详述一下
病毒简要分析 File: TxHMoU.Exe Size: 27136 bytes Modified: 2007年12月16日, 12:12:07 MD5: 3A1382BE0C9B07DC403EC06ECED29649 SHA1: B4AD5D523A52F09E82EC5AB8E1DE3E44ACA909A4 CRC32: 4514BDF2 加壳方式:UPX
1.病毒运行后,衍生如下副本: %systemroot%\system32\AuToRUN.Inf %systemroot%\system32\TxHMoU.Exe 在每个分区根目录下面生成AuToRUN.Inf和soS.Exe,达到通过U盘等移动存储传播的目的。
2.不断调用reg.exe进行相关的系统破坏,其中包括 (1)添加自身启动项目 (2)禁用Windows自动更新 (3)禁用任务管理器 (4)破坏显示隐藏文件 (5)不显示文件扩展名
3.遍历磁盘分区删除gho文件
4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,
CONN.ASP文件,并在其尾部加入ieframe代码
5.连接网络下载3个txt文本文档,并把它们保存到%systemroot%\system32下面命名为FSEz.COM,
FSEx.COM,FSEc.COM,FSEv.COM,FSEb.COM等 这三个文本文档一般分别为 http://*/url.txt http://*/IE.txt http://*/table.txt
其中 IE.txt为锁定的主页的列表 table.txt为关闭指定窗口的关键字列表 url.txt为下载的木马列表 且table.txt,IE.txt会每隔几秒下载一次检查是否有更新..
之后会读取IE.txt的中的内容(里面一般为一个网址) 目前为http://main.94ak.com 之后病毒则会把IE主页锁定为http://main.94ak.com ,且使得Internet选项中主页设定项变灰。
table.txt为病毒试图关闭的窗口关键字列表,目前为: 360safe 木马 木馬 病毒 杀毒 殺毒 查毒 防毒 反病毒 专杀 專殺 卡巴 江民 瑞星 卡卡社区 金山毒霸 毒霸 金山 社区 360安全 恶意软件 流氓软件 举报 报警 杀软 殺軟 防駭 微点 卡巴斯基 kaspersky rising 瑞星 诺顿
之后会读取url.txt下载一系列木马和病毒 其中有目前比较流氓的机器狗病毒(破坏还原卡,替换userinit.exe)
中毒后的sreng日志如下(本文略):
清除办法: 需要下载的工具: 到down.45it.com下载sreng和Xdelbox1.6
强烈建议对病机断网隔离并拔掉机器上的移动存储设备再进行查杀!
一.清除病毒主程序TxHMoU.Exe 1.打开sreng 启动项目 注册表 删除 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] {crsss}{%systemroot%\system32\TxHMoU.Exe} []
重启计算机 打开sreng 系统修复 - Windows Shell/IE 全选 点击修复
之后双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘(假设在C盘)
删除%systemroot%\system32\TxHMoU.Exe C:\soS.Exe C:\autorun.inf %systemroot%\system32\FSEb.COM %systemroot%\system32\FSEc.COM %systemroot%\system32\FSEx.COM %systemroot%\system32\TxHMoU.Exe 同理 从左边的资源管理器中单击打开其它盘 删除soS.Exe,autorun.inf
二.清除病毒下载的木马(由于病毒服务器上的木马群会随时变化,所以此方法仅供参考) 需要使用刚刚下载的Xdelbox1.6 使用方法如下: 解压Xdelbox压缩包到一个文件夹 打开XDelBox.exe
在 添加旁边的框中 分别输入(有经验的朋友可以根据sreng日志列出下面的病毒列表) %Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp %Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys %systemroot%\608769MM.DLL %systemroot%\608769WL.DLL %systemroot%\cmdbcs.exe %systemroot%\LotusHlp.exe %systemroot%\MsPrint32D.exe %systemroot%\SSLDyn.exE %systemroot%\system32\avwghmn.dll %systemroot%\system32\avwghst.exe %systemroot%\system32\avwlgmn.dll %systemroot%\system32\avwlgst.exe %systemroot%\system32\avzxkmn.dll %systemroot%\system32\avzxkst.exe %systemroot%\system32\cmdbcs.dll %systemroot%\system32\drivers\comint32.sys %systemroot%\system32\drivers\svchost.exe %systemroot%\system32\edxqmewogy.dll %systemroot%\system32\FTCCompress.dll %systemroot%\system32\gdjzi32.dll %systemroot%\system32\kaqhlaz.exe %systemroot%\system32\kaqhlzy.dll %systemroot%\system32\kawdfaz.exe %systemroot%\system32\kawdfzy.dll %systemroot%\system32\kvdxjisa.exe %systemroot%\system32\kvdxjma.dll %systemroot%\system32\kvdxskis.exe %systemroot%\system32\kvdxskma.dll %systemroot%\system32\LotusHlp.dll %systemroot%\system32\LYLOADER.EXE %systemroot%\system32\LYMANGR.DLL %systemroot%\system32\MSDEG32.DLL %systemroot%\system32\MsPrint32D.dll %systemroot%\system32\msqdlsl32.dll %systemroot%\system32\ratbopi.dll %systemroot%\system32\ratbotl.exe %systemroot%\system32\REGKEY.hiv %systemroot%\system32\sidjhaz.exe %systemroot%\system32\sidjhzy.dll %systemroot%\system32\SSLDyn.dll %systemroot%\system32\TxHMoU.Exe %systemroot%\system32\upxdnd.dll %systemroot%\system32\vvneypgwnevm.dll %systemroot%\system32\wszjdax.exe %systemroot%\system32\wszjdzx.dll %systemroot%\upxdnd.exe
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 然后在下面的大框中单击右键 点击 “立即重启进行删除” 软件会自动重启计算机
重启计算机以后 会有两个系统进入的选择的倒计时界面 第一个是你原来的windows系统 第二个是这个软件给你设定的dos系统 不用你管,它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 对应的木马就被删除了 之后他会自动重启进入正常模式
重启计算机后 打开sreng 删除上述对应的启动项目
三.清理机器狗病毒 1.清理机器狗病毒的驱动程序 本次涉及到的是%systemroot%\system32\drivers\pcihdd.sys 方法使用Xdelbox直接删除该文件即可
2.其次机器狗病毒清理的关键是把被感染的userinit.exe替换回来。
注意:清理该病毒一定不要使用杀毒软件,因为杀毒软件会盲目的将userinit.exe删除而导致重启计算机后登陆就注销,所以一旦杀毒软件报警userinit.exe是病毒,一定要选择忽略!
请按照下面步骤操作将userinit.exe替换回来
首先打开任务管理器 查看是否有userinit.exe进程 有则结束它
从其他相同系统的机器中找一个userinit.exe分别复制到%systemroot%\system32\dllcache和%systemroot%\system32替换原先的文件(注意,先覆盖%systemroot%\system32\dllcache中的) 如果出现文件保护的对话框,点击是即可
四.由于病毒感染htm等网页文件 所以最后一定要使用杀毒软件全盘杀毒或者使用网页感染清除工具处理 推荐使用CSI的iframkill 下载地址:down.45it.com
另外建议网管屏蔽以下IP地址 58.211.79.209 222.92.41.228 121.10.107.156 61.157.109.222 58.211.79.117
|