瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

12345678   1  /  8  页   跳转

[原创] 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

前天看了一份日志,其中可以见如下内容:


引用:
[PID: 604 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\cdfview.dll]  [N/A, ]


当时毫不犹豫的把C:\WINDOWS\system32\cdfview.dll删除了,结果求助者说重启进不了系统了,提示“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 cdfview.dll 上的”

立即去搜了一下,发现C:\WINDOWS\system32下确实有cdfview.dll文件,但是版本、签名一应俱全,日志中却不见这些信息,怀疑是被病毒替换掉了。

反病毒论坛版主“天月来了”拿到了一个cdfview.dll样本,虽然当前最新版本瑞星(20.42.62)不报毒,但是通过与正常系统文件对比不难发现,此文件确实已经不是系统本身的了。(对比截图见2楼)

对比MD5值也很容易发现差别
病毒文件cdfview.dll的MD5:382ae8b50eae940fb4e55b71e073e7e2
xp sp2系统正常cdfview.dll的MD5:42b9458751d81b0dda67a53a2c5bdef5
xp sp3系统正常cdfview.dll的MD5:8bb94215ea04f73a92a1b6966718d6fe

说来也巧,今天一个朋友发来一份日志,处理完以后竟然出现了类似的症状,只是提示略有不同:

应该属于不同的变种~

赶紧翻回来再看日志,发现如下内容:


引用:
[PID: 1036 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\cards.dll]  [N/A, ]


百度搜了一下cards.dll,是Windows纸牌游戏的纸牌图像库文件。看出点门道了吧,依旧是系统正常文件,依旧没有版本、没有签名,感觉事情不太对,但是系统已经进不去了,只好让朋友用PE启动,把c:\windows\system32\dllcache里面的services.exe复制到c:\windows\system32下替换同名文件,再重启,顺利进入系统了,再扫日志已经看不出什么问题了,至此问题解决!

让朋友把原c:\windows\system32下的services.exe发过来了,当前最新版瑞星同样不报毒,乍一看与xp sp2系统正常文件一模一样(对比截图见3楼)

在对比MD5,看出区别了
被病毒修改过的services.exe的MD5:bdf585393edc9df5b9c6944225feb9e7
xp sp2系统正常services.exe的MD5:9cabf264ce1177cafbbba4b910a44c79
xp sp3系统正常services.exe的MD5:5edc33c1cfc364bc2e3ea66a75647914

目前已经发现被病毒恶搞过的文件有:
cards.dll、cdfview.dll、lsass.exe、mfc40u.dll、services.exe、beep.sys、wuauclt.exe


处理方案:
1、已确认中此病毒,但系统尚能正常运行:直接下载附件“修复系统文件.zip”,解压后运行“修复系统文件.exe”,按提示操作即可,适用于xp sp2或sp3系统;

附件: 修复系统文件.zip (2008-6-4 11:40:41, 3018.35 K)
该附件被下载次数 54584



2、已确认中此病毒,且系统已经瘫痪
可以通过其他电脑去下载“深山红叶PE工具V30“,将映像刻录成光盘,引导启动进入PE系统,然后下载”正常系统文件备份.zip“,解压后根据自己的操作系统将正常文件替换回去,适用于xp sp2或sp3系统;

附件: 正常系统文件备份.zip (2008-6-4 11:40:41, 2766.58 K)
该附件被下载次数 5807



3、在处理病毒的过程用可以直接使用XDelBox完成dos下替换文件的操作,具体步骤,建议遵医嘱;

PE工具使用方法可以参考“豪斯登堡新郎”发的帖子:http://bbs.ikaka.com/showtopic-8502100.aspx


更新记录:
2008年6月4日更新
自动处理批处理和正常文件备份,增加wuauclt.exe文件
2008年5月30日更新自动处理批处理和正常文件备份;
2008年5月7日更新处理方法,详情见:http://bbs.ikaka.com/showtopic-8502727.aspx
2008年5月5日更新,详情见13、14、15楼
本帖被评分 1 次
最后编辑lqqk7 最后编辑于 2008-06-18 20:56:02
我这人挺糙的
分享到:
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

这是病毒文件cdfview.dll,文件大小与xp sp2系统正常的cdfview.dll一致,但是没有了“版本”标签



这是xp sp2系统正常的cdfview.dll







这是xp sp3系统正常的cdfview.dll




最后编辑lqqk7 最后编辑于 2008-05-04 22:50:05
我这人挺糙的
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

这是病毒修改过的services.exe,文件大小、版本信息与xp sp2系统正常services.exe完全相同





这是xp sp2系统正常的services.exe





这是xp sp3系统正常的services.exe


最后编辑lqqk7 最后编辑于 2008-05-04 22:51:27
我这人挺糙的
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

WINDOWS文件保护啊!
很管用。但就是没人用。
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题



引用:
原帖由 baohe 于 2008-5-4 23:04:00 发表
WINDOWS文件保护啊!
很管用。但就是没人用。 

是啊,真实想不明白为什么很多人都要关闭文件保护
貌似很多人很烦那个提示框
我这人挺糙的
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

太复杂了……
gototop
 

回复 5F lqqk7 的帖子

嘻嘻

终于看到了解决的办法

替换是能解决的,可是前几天求助者说都进不起系统了,所以没办法进行替换工作

现在只有利用PE
回复帖子都要加入安装PE的提示,我汗~~~~~~~~
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

学习了,赞叹大版主的求知精神
打酱油的……
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

已在部分系统中看到中毒后,是病毒终止了系统WINDOWS文件保护功能。

所以开启也没用的。看来关于系统WINDOWS文件保护功能所有涉及的文件和注册表项。

瑞星的内置规则里要加上默认保护了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

又看到变种了,感染lsass.exe,替换mfc40u.dll,稍后跟进详情!
我这人挺糙的
gototop
 
12345678   1  /  8  页   跳转
页面顶部
Powered by Discuz!NT