svcoss.exe的查杀【原创】【分享】 bbs.ikaka.com

baohe - 2008-4-14 21:37:00

样本来自：http://bbs.janmeng.com/thread-737100-1-1.html
据样本提供者说：此毒过了瑞星2008的主动防御。
此毒比较难杀。瑞星20.40不报毒。

病毒特点：
1、运行后自网络下载很多病毒/木马。
2、通过IFEO劫持很多杀软及手工杀毒工具。
3、将windows目录下的explorer.exe替换为病毒文件（文件大小不变，但图标变为一般可执行文件图标。）
4、加载下列病毒驱动：
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
关闭瑞星监控、SSM监控、Tiny监控......
5、添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInitDlls，键值为N个病毒DLL。并非键值中的每个DLL都存在。
此键值较难删除。
6、下列两个病毒DLL监视键盘，动态插入应用程序进程：
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、仅仅通过扫SRENG或autoruns日志，难以发现所有病毒文件。

查杀流程：
1、断网。关闭IE。清空IE临时文件夹（内有病毒文件）。打开windows目录下的win.ini，可见病毒添加的内容（图1）。相应的病毒文件位于system32目录下。记下病毒文件名，删除图1蓝色高亮显示的内容，保存win.ini。
2、改名运行autoruns.exe，扫加载项日志。通过与系统加载项基准日志（未中毒时保存的）比较，即可见绿色高亮显示的病毒加载项以及相应的病毒文件（图2）。
3、点击“开始”、“搜索”。按指定日期搜索。日期指定为中招当日。重点寻找以下三个目录下的异常文件（判断时需要经验）：
c:\windows\
C:\WINDOWS\system32\
c:\windows\system32\drivers\
C:\Program Files\Internet Explorer\PLUGINS\
4、打开“记事本”将1－3步发现的病毒文件及其路径一一拷入记事本窗口（图3）。全部选中记事本中的内容，按ctrl_c。
5、运行XDELBOX 1.6。右击“待删除文件列表”窗口，点击“由剪贴板导入”，将待删除病毒文件导入。右击“待删除文件列表”窗口，点击“立即重启执行删除”。
6、重启后，由于WINDOWS目录下被替换的explorer.exe已被删除了，用户无法进入桌面。此时可按Ctrl_Alt_Del，调出任务管理器，点击“文件”、“新建任务（运行..）”，在小窗口中键入c:\windows\system32\dllcache\explorer.exe，按回车，即可进入桌面。
进入桌面后，从c:\windows\system32\dllcache\目录下拷贝一个explorer.exe到WINDOWS目录下。
下列文件需再次重复第5步操作（估计是病毒驱动的干扰，XDELBOX未能删除）：
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\dnteh.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、再用autoruns扫一下加载项，还能发现漏网者：
c:\windows\system32\dnteh.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
此时，可将IceSword改名运行，删除上述漏网之鱼。
8、重启。用IceSword删除病毒添加的AppInitDlls（或将该键值清空；图4）。
9、autoruns.exe扫不到病毒添加的IFEO劫持项。可以改名运行SRENG，找到并删除那些IFEO劫持项（图5）。

图1

[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件: 1558472008414212502.jpg

baohe - 2008-4-14 21:38:00

图2

附件: 1558472008414212547.jpg

baohe - 2008-4-14 21:38:00

图3

附件: 1558472008414212615.jpg

baohe - 2008-4-14 21:38:00

图4

附件: 1558472008414212641.jpg

baohe - 2008-4-14 21:39:00

图5

附件: 1558472008414212706.jpg

黑的不行了 - 2008-4-14 21:48:00

您真强大，我流泪，以后看不到这么好的帖子怎么办5555

sako - 2008-4-15 6:26:00

引用:

【baohe的贴子】图5
………………

叔
能用这个么????????

空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe

可以吗
样本才拿到

估计周五放假才能玩

叔,这个修复工具在这里管用么?????

baohe - 2008-4-15 8:26:00

引用:

【sako的贴子】
叔
能用这个么????????

空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe

可以吗
样本才拿到

估计周五放假才能玩

叔,这个修复工具在这里管用么?????
………………

我没用过。
你可以试试。

sako - 2008-4-15 9:07:00

引用:

【baohe的贴子】
我没用过。
你可以试试。
………………

恩哦,偶周五就耍了

到时候回复下

全世瞩目 - 2008-4-15 9:16:00

好帖子. 谢谢传教

一直在学习的人 - 2008-4-15 9:44:00

见识了，学习了

FCOME - 2008-4-15 19:45:00

好帖子收藏了！！

hi小马 - 2008-4-16 9:13:00

我靠，看不懂。
什么叫“改名运行autoruns.exe”？
XDELBOX 1.6，是什么东东

々病毒受害者々 - 2008-4-16 22:53:00

haohe 大哥可以帮我看看这个附件吗？有毒应该怎么删呢~可以尽快回我吗？

附件: 10365872008416224109.txt

sako - 2008-4-17 8:15:00

引用:

【hi小马的贴子】我靠，看不懂。
什么叫“改名运行autoruns.exe”？
XDELBOX 1.6，是什么东东
………………

1 改名运行autoruns.exe是因为此软件也被IFEO劫持了
无法正常使用,所以我们需要去将它改名,才能运行,用它来清理病毒的劫持

可以用这个来删除IFEO劫持项
空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe

我还没测试,不清除是不是完全可以清除,不过MS可以

2 XDELBOX 1.6是一款用来清除难缠病毒文件的软件,它的抑制再生和清理效率是非常好的,而且清理的成功率高
但是使用XDELBOX要注意如下:
1 不要连接任何可以动介质(u盘等)
2 千万不可以用XDELBOX清理u盘的文件
3 此软件暂时不能在vista系统下使用

其他的话,请参考下1.5版本的使用说明
1.6的我看了,全是补充

具体清除步骤如下:
首先下载Xdelbox这个软件下载地址http://www.dodudou.com/down/里面的原创软件文件夹下
下载后
解压所有文件到一个文件夹
在添加旁边的框中分别输入
(病毒的具体路径,一般求助者会得到高手给的文件路径,输入或者直接复制到剪贴板后粘贴即可)
输入完一个以后点击旁边的添加按钮被添加的文件将出现在下面的大框中
然后一次性选中（按住ctrl)下面大框中所有的文件
右键单击点击重启立即删除
重启计算机以后会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后病毒就被删除了
之后他会自动重启进入正常模式

其他请参考下
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
我叔写的,但是地址不清除了
保留的就这个了

本人技术太差,只能解释到这里
高手看到不对的话,补充改正下,谢谢呵

xtblfxk - 2008-4-17 16:01:00

好帖啊偶要好好学习一下啊

射手的神话 - 2008-4-18 0:16:00

有没有中毒的症状呢？

中分 - 2008-4-18 11:33:00

一直在学习.

青ぁ龙ぞ震⊙威 - 2008-4-18 22:02:00

学习了

sako - 2008-4-19 11:00:00

叔

搞了下

可以用这个
比较简单
空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe

这个我记得还是av那会的呢

(此附件为IFEO劫持修复)

附件: 9610292008419105912.rar

sako - 2008-4-19 11:09:00

天月哥给了我个更好的DD

爽死了
自己弄了一堆劫持,直接搞定

下面我把两个都穿上来

附件 IFEO劫持修复为 IFEO定向劫持修复工具.exe

福建劫持修复为机器狗&映像劫持修复工具（强烈推荐，这是天月哥给我的一个DD，清除时直观，而且还是官方版）推荐后者

次此帖附件为（劫持修复工具，后面的，楼上为IFEO劫持修复工具

附件: 9610292008419105705.rar

雨lin - 2008-4-20 21:41:00

不是我辈可完成得了的...好

天安门拉长啊 - 2008-4-21 21:12:00

楼主你把样本发给我，我的邮箱是：695783808@qq.com

spiritfire - 2008-4-23 19:16:00

强贴，偶N久没有来了，一来就看到！

瑞星卡卡安全论坛