经移动存贮介质传播的病毒patty.exe的查杀 bbs.ikaka.com

baohe - 2007-12-3 18:36:00

此毒经移动介质传播。病毒模块twain.dll插入winlogon进程；病毒模块1sasrv.dll和adsldps.dll动态插入所有应用程序进程。通过IFEO劫持多个杀毒软件以及常用手工杀毒工具（这次，连XDELBOX1.3也劫持了）。
中毒后的SRENG日志见附件。

利用XDELBOX1.6和IceSword的手工查杀流程如下：
0、将IceSword和XDELBOX分别改名为IS.COM和XDEL.COM。
1、将下列文件拷贝到剪贴板：
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\hkcmd.pat
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\igfxtray.pat
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\REALSC~1.PAT
C:\WINDOWS\system32\1sasrv.dll
C:\WINDOWS\system32\adsldps.dll
C:\WINDOWS\system32\c28591.nls
C:\WINDOWS\system32\Ilass.exe
C:\WINDOWS\system32\SOUNDM~1.EXE
C:\WINDOWS\system32\SVCH0ST.EXE
C:\WINDOWS\system32\twain.dll
c:\autorun.inf
c:\patty.exe
e:\autorun.inf
e:\patty.exe
r:\autorun.inf
r:\patty.exe
2、运行改名后的XDEL.COM。右击待删除文件列表窗口，点击“从剪贴板导入”（XDELBOX提示文件不存在，不必理会此提示。）
3、右击待删除文件列表窗口，点击“立即执行重启删除”。
4、重启后，用改名运行的IceSword删除以下注册表内容：
（0）展开HKEY_CLASSES_ROOT，
删除.pat子键
（1）展开：HKEY_CLASSES_ROOT\
删除：patfile子键
（2）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
删除：BITS子键（指向C:\windows\System32\twain.dll）
（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
删除所有指向C:\windows\system32\SVCH0ST.exe的子键（很多。慢慢删。）。

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件: 1558472007123182521.txt

天月来了 - 2007-12-3 18:56:00

又学了几个

天天泡泡 - 2007-12-3 21:03:00

跟原来的那几个诸如Sos.Exe、Hide.exe也是差不多的东西吧，就是清起来太多了。

奇缘の随风 - 2007-12-3 21:24:00

猫叔发个样本多谢！
邮箱：84908656@163.com
加密码123

奇缘の随风 - 2007-12-3 21:31:00

病毒模块1sasrv.dll和adsldps.dll动态插入所有应用程序进程
这2个要插所有的应用程序不是要写注册表么

baohe - 2007-12-3 22:41:00

引用:

【天天泡泡的贴子】跟原来的那几个诸如Sos.Exe、Hide.exe也是差不多的东西吧，就是清起来太多了。
………………

此毒的查杀难点在C:\WINDOWS\system32\twain.dll
这个DLL用IceSword强制删除也删不掉。
但用改名后的 XDELBOX可以将其删除。

hotboy - 2007-12-4 0:42:00

冰冰也需要改进喽~~~~~~~~~

暗焰欣空 - 2007-12-4 9:12:00

学习拉~~~

暗焰欣空 - 2007-12-4 9:12:00

学习拉~~~

日不懂啊 - 2007-12-4 9:14:00

好久没看到猫叔的讲座了~~顶！！！

姑苏残月 - 2007-12-4 10:37:00

好玩，虽然冰刃无法删除，但是PE还是可以的，就是对大多数人来说不方便罢了。蛮好玩的

yqlikaka - 2007-12-4 10:40:00

经常遇到冰刃删不掉的情况，还有重起并监视，有的时候也不管用，还是XDELBOX的抑制再生来得快

独孤豪侠 - 2007-12-4 11:17:00

现在卡卡真的不如以前了....不是掉贴就是掉线....现在居然发一个贴变成两个贴..我汗....

独孤豪侠 - 2007-12-4 11:18:00

学习了.....

samda - 2007-12-4 12:12:00

晕死,看来现在那些制毒者都针对"移动介质"了````

tankk - 2007-12-4 12:39:00

引用:

【baohe的贴子】
此毒的查杀难点在C:\WINDOWS\system32\twain.dll
这个DLL用IceSword强制删除也删不掉。
但用改名后的 XDELBOX可以将其删除。
………………

遇到过几次IceSword强制删除也删除不了的情况,很是郁闷!
会不会以后会出现XDELBOX也删除不了的呢??

请问猫叔,这些文件删除不了是怎么回事呢?我一直认为IceSword已经很厉害了~!

sako - 2007-12-4 14:49:00

引用:

【baohe的贴子】
此毒的查杀难点在C:\WINDOWS\system32\twain.dll
这个DLL用IceSword强制删除也删不掉。
但用改名后的 XDELBOX可以将其删除。
………………

冰刃有时候就是不行，改名字的方法在这里好用。
但是要改的好找才行。呵呵

，不过一般不会出现改了找不到的情况。

sako - 2007-12-4 14:50:00

学习了

sako - 2007-12-4 14:51:00

看了下日志，花眼。。。。

天月来了 - 2007-12-4 15:02:00

引用:

【tankk的贴子】

遇到过几次IceSword强制删除也删除不了的情况,很是郁闷!
会不会以后会出现XDELBOX也删除不了的呢??

请问猫叔,这些文件删除不了是怎么回事呢?我一直认为IceSword已经很厉害了~!
………………

一个是系统视窗下，一个是DOS下，不可相比的。

孤独更可靠 - 2007-12-4 16:38:00

学习了

那个DLL卸载不掉,可能是在其他进程里的副本守护了

:)

baohe - 2007-12-4 16:57:00

引用:

【孤独更可靠的贴子】学习了

那个DLL卸载不掉,可能是在其他进程里的副本守护了

:)
………………

用IceSword强制卸除winlogon进程中的twain.dll，立即兰屏重启。

tankk - 2007-12-4 17:25:00

引用:

【孤独更可靠的贴子】学习了

那个DLL卸载不掉,可能是在其他进程里的副本守护了

:)
………………

有没有什么办法可以看到守护的进程?
要是选择"禁止进线程创建",再强制删除,会不会管用???

zhongzhi - 2007-12-4 17:53:00

引用:

【姑苏残月的贴子】好玩，虽然冰刃无法删除，但是PE还是可以的，就是对大多数人来说不方便罢了。蛮好玩的
………………

据说PE杀毒效果不错，能不能搞一个教程，让偶等学一学？

飞逝v流星 - 2007-12-4 19:30:00

呵呵　，学习了

╲純屬☆娛樂 - 2007-12-4 19:57:00

学习啦

圣洁之神 - 2007-12-5 9:30:00

好久没看到猫叔的讲座了~~顶！！！

xqb761 - 2007-12-5 9:50:00

引用:

【baohe的贴子】
用IceSword强制卸除winlogon进程中的twain.dll，立即兰屏重启。

………………

最怕就是碰到这种了,WINLOGON进程又不能终止,要是只嵌入桌面,那就好办点.
还好,有PE搞,要不然还真有点麻烦搞它~~

番茄骑士 - 2007-12-6 21:31:00

SVCH0ST.EXE和任务管理器的svchost.exe有何区别？？
位置不一样？？

njdzhan - 2007-12-6 21:39:00

冰刃太出众了，许多病毒都针对它了

瑞星卡卡安全论坛