瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

12345678   2  /  8  页   跳转

[原创] 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

收藏
本主题由 版主 天月来了 于 2009-11-20 7:52:19 执行 关闭主题/取消 操作
AIXIN1992
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-05-05
  • 来自:
发表于: 2008-05-05 17:40 | 短消息 资料
字号: 11楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

我现在进不了系统怎么办啊~~
gototop
 
燕赤霞
头像
健康舞勺狮
  • 帖子:250
  • 注册: 2003-12-26
  • 来自:
发表于: 2008-05-05 18:18 | 短消息 资料
字号: 12楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

说得很详细,学习中!
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-05-05 22:46 | 只看楼主 短消息 资料
字号: 13楼

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

抱歉,刚才临时有点事,未能及时跟进。

先看看原帖吧:http://bbs.ikaka.com/showtopic-8502004.aspx

此贴中的日志可见很多病毒,但是最值得注意的应该是这里,是不是跟楼顶的情况很相似,又是一个系统文件,但是没有版本、没有签名


引用:
[PID: 628 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\mfc40u.dll]  [N/A, ]


于是让求助者把lsass.exe和mfc40u.dll上传,对比了md5,证实了刚才的猜测
病毒修改过的lsass.exe的md5:55b6f249431ed02a1c6a8e045115079c
xp sp2系统正常的lsass.exe的md5:891600e79c38249028f1bacc1c6cc5d2
xp sp3系统正常的lsass.exe的md5:bc16a35900d8abdbce0d87e9fcf21f65

病毒修改过的mfc40u.dll的md5:d125ad2c2e2613a34619dd5a9bd92d89
xp sp2系统正常的mfc40u.dll的md5:413e8c9a856d60edc25a7d95a79bbfb9
xp sp3系统正常的mfc40u.dll的md5:fe9263c8ba97ddb0a6d1fd7b4c55cbd0

猜测此时如果贸然删除mfc40u.dll的结果应该是这样的:



让求助者使用XDelBox删除文件,并利用DOS重命名功能去替换lsass.exe和mfc40u.dll,但是重启后系统还是瘫了。这次的报错与以往不同,提示“应用程序正常初始化(0xc00000ba)失败。请单击“确定”终止应用程序。”
这个提示与感染橙八病毒后的症状相似,怀疑病毒可能还修改了其他系统文件。


再翻过来重看日志,初步判断问题可能出在这里:


引用:
[PID: 616 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\D3D9_32.DLL]  [N/A, ]


当然这还仅仅是推测,还未经证实!
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-05-05 22:46 | 只看楼主 短消息 资料
字号: 14楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

附上文件对比图:
这是病毒修改过的lsass.exe:





这是xp sp2系统正常的lsass.exe:





这是xp sp3系统正常的lsass.exe


最后编辑lqqk7 最后编辑于 2008-05-05 22:48:00
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-05-05 22:48 | 只看楼主 短消息 资料
字号: 15楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

这是病毒修改过的mfc40u.dll:



这是xp sp2系统正常的mfc40u.dll





这是xp sp3系统正常的mfc40u.dll


最后编辑lqqk7 最后编辑于 2008-05-05 22:49:49
gototop
 
青蓝紫
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-05-06
  • 来自:
发表于: 2008-05-06 08:29 | 短消息 资料
字号: 16楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

看看
gototop
 
dragonkym
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-12-05
  • 来自:
发表于: 2008-05-06 09:02 | 短消息 资料
字号: 17楼

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

天月来了版主,我按照你说的方法打开XDelBox 1.7支持奥运版后,在导入文件列表的最后加上如下2行命令:
c:\windows\system32\cdfview.dll
dos#ren c:\windows\system32\cdfview.dll.bak cdfview.dll
(因为偶用360顽固木马专杀大全后只有这个文件是怎么也杀不掉……)
没有勾选“抑制再生”,然后右键点立刻重启执行,等重新启动倒计时5秒自动进入第二个选项“XDelBox的Go XDelBox To Del Files”后,就花屏了,这是什么原因啊?

附上偶的SREng日志文件,版主请帮忙看看吧,谢谢了~

附件附件:

下载次数:339
文件类型:text/plain
文件大小:
上传时间:2008-5-6 9:02:10
描述:txt
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-05-06 10:25 | 只看楼主 短消息 资料
字号: 18楼

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题



引用:
原帖由 dragonkym 于 2008-5-6 9:02:00 发表
天月来了版主,我按照你说的方法打开XDelBox 1.7支持奥运版后,在导入文件列表的最后加上如下2行命令:
c:\windows\system32\cdfview.dll
dos#ren c:\windows\system32\cdfview.dll.bak cdfview.dll
(因为偶用360顽固木马专杀大全后只有这个文件是怎么也杀不掉…

花屏.......估计是显卡的事
用pe环境去替换文件吧,不要只替换cdfview.dll,services.exe也要替换!
gototop
 
ripl
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2007-03-21
  • 来自:
发表于: 2008-05-06 11:16 | 短消息 资料
字号: 19楼

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

除了比对md5码,还有其他办法区分被病毒感染的lsass.exe等文件吗?
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-05-06 13:01 | 只看楼主 短消息 资料
字号: 20楼

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题



引用:
原帖由 ripl 于 2008-5-6 11:16:00 发表
除了比对md5码,还有其他办法区分被病毒感染的lsass.exe等文件吗?

dll文件看属性里是没有版本信息的,但是exe文件很难直观判断,上面的截图应该不难看出,无论是文件大小还是版本信息,都很难看出差异
gototop
 
<<上一主题|下一主题>>
12345678   2  /  8  页   跳转
页面顶部
Powered by Discuz!NT