123   1  /  3  页   跳转

svcoss.exe的查杀【原创】【分享】

svcoss.exe的查杀【原创】【分享】

样本来自:http://bbs.janmeng.com/thread-737100-1-1.html
据样本提供者说:此毒过了瑞星2008的主动防御。
此毒比较难杀。瑞星20.40不报毒。

病毒特点:
1、运行后自网络下载很多病毒/木马。
2、通过IFEO劫持很多杀软及手工杀毒工具。
3、将windows目录下的explorer.exe替换为病毒文件(文件大小不变,但图标变为一般可执行文件图标。)
4、加载下列病毒驱动:
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
关闭瑞星监控、SSM监控、Tiny监控......
5、添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInitDlls,键值为N个病毒DLL。并非键值中的每个DLL都存在。
此键值较难删除。
6、下列两个病毒DLL监视键盘,动态插入应用程序进程:
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、仅仅通过扫SRENG或autoruns日志,难以发现所有病毒文件。

查杀流程:
1、断网。关闭IE。清空IE临时文件夹(内有病毒文件)。打开windows目录下的win.ini,可见病毒添加的内容(图1)。相应的病毒文件位于system32目录下。记下病毒文件名,删除图1蓝色高亮显示的内容,保存win.ini。
2、改名运行autoruns.exe,扫加载项日志。通过与系统加载项基准日志(未中毒时保存的)比较,即可见绿色高亮显示的病毒加载项以及相应的病毒文件(图2)。
3、点击“开始”、“搜索”。按指定日期搜索。日期指定为中招当日。重点寻找以下三个目录下的异常文件(判断时需要经验):
c:\windows\
C:\WINDOWS\system32\
c:\windows\system32\drivers\
C:\Program Files\Internet Explorer\PLUGINS\
4、打开“记事本”将1-3步发现的病毒文件及其路径一一拷入记事本窗口(图3)。全部选中记事本中的内容,按ctrl_c。
5、运行XDELBOX 1.6。右击“待删除文件列表”窗口,点击“由剪贴板导入”,将待删除病毒文件导入。右击“待删除文件列表”窗口,点击“立即重启执行删除”。
6、重启后,由于WINDOWS目录下被替换的explorer.exe已被删除了,用户无法进入桌面。此时可按Ctrl_Alt_Del,调出任务管理器,点击“文件”、“新建任务(运行..)”,在小窗口中键入c:\windows\system32\dllcache\explorer.exe,按回车,即可进入桌面。
进入桌面后,从c:\windows\system32\dllcache\目录下拷贝一个explorer.exe到WINDOWS目录下。
下列文件需再次重复第5步操作(估计是病毒驱动的干扰,XDELBOX未能删除):
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\dnteh.dll   
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll   
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
c:\windows\system32\mpmyaapi.dll
c:\windows\system32\ptjhbhlp.dll
7、再用autoruns扫一下加载项,还能发现漏网者:
c:\windows\system32\dnteh.dll   
c:\windows\system32\fjyjy.dll
c:\windows\system32\kduy.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\msepbe.dll   
c:\windows\system32\sehhter.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\xgnfn.dll
此时,可将IceSword改名运行,删除上述漏网之鱼。
8、重启。用IceSword删除病毒添加的AppInitDlls(或将该键值清空;图4)。
9、autoruns.exe扫不到病毒添加的IFEO劫持项。可以改名运行SRENG,找到并删除那些IFEO劫持项(图5)。


图1


[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:993
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-14 21:37:16
描述:
预览信息:EXIF信息



最后编辑2008-04-23 19:04:10
分享到:
gototop
 

图2

附件附件:

下载次数:973
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-14 21:38:01
描述:
预览信息:EXIF信息



gototop
 

图3

附件附件:

下载次数:974
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-14 21:38:29
描述:
预览信息:EXIF信息



gototop
 

图4

附件附件:

下载次数:933
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-14 21:38:55
描述:
预览信息:EXIF信息



gototop
 

图5

附件附件:

下载次数:909
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-14 21:39:20
描述:
预览信息:EXIF信息



gototop
 

您真强大,我流泪,以后看不到这么好的帖子怎么办5555
gototop
 

引用:
【baohe的贴子】图5
………………


能用这个么????????

空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe


可以吗
样本才拿到

估计周五放假才能玩

叔,这个修复工具在这里管用么?????
gototop
 

引用:
【sako的贴子】

能用这个么????????

空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe


可以吗
样本才拿到

估计周五放假才能玩

叔,这个修复工具在这里管用么?????
………………

我没用过。
你可以试试。
gototop
 

引用:
【baohe的贴子】
我没用过。
你可以试试。
………………

恩哦,偶周五就耍了

到时候回复下
gototop
 

好帖子.  谢谢传教
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT