关于系统文件被破坏，开机提示“无法定位程序输入点”的问题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于系统文件被破坏，开机提示“无法定位程序输入点”的问题

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7 8

1 / 8 页

跳转页

[原创] 关于系统文件被破坏，开机提示“无法定位程序输入点”的问题

本主题由版主天月来了于 2009-11-20 7:52:19 执行关闭主题/取消操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-04 22:48 \| 只看楼主短消息资料字号：小中大 1楼关于系统文件被破坏，开机提示“无法定位程序输入点”的问题前天看了一份日志，其中可以见如下内容：引用: [PID: 604 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\cdfview.dll] [N/A, ] 当时毫不犹豫的把C:\WINDOWS\system32\cdfview.dll删除了，结果求助者说重启进不了系统了，提示“services.exe无法找到入口，无法定位程序输入点 HttpAddUrl 于动态链接库 cdfview.dll 上的” 立即去搜了一下，发现C:\WINDOWS\system32下确实有cdfview.dll文件，但是版本、签名一应俱全，日志中却不见这些信息，怀疑是被病毒替换掉了。反病毒论坛版主“天月来了”拿到了一个cdfview.dll样本，虽然当前最新版本瑞星（20.42.62）不报毒，但是通过与正常系统文件对比不难发现，此文件确实已经不是系统本身的了。（对比截图见2楼）对比MD5值也很容易发现差别病毒文件cdfview.dll的MD5：382ae8b50eae940fb4e55b71e073e7e2 xp sp2系统正常cdfview.dll的MD5：42b9458751d81b0dda67a53a2c5bdef5 xp sp3系统正常cdfview.dll的MD5：8bb94215ea04f73a92a1b6966718d6fe 说来也巧，今天一个朋友发来一份日志，处理完以后竟然出现了类似的症状，只是提示略有不同： Snap1.jpg (28.65 K) 2008-5-4 22:48:03 应该属于不同的变种~ 赶紧翻回来再看日志，发现如下内容：引用: [PID: 1036 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\cards.dll] [N/A, ] 百度搜了一下cards.dll，是Windows纸牌游戏的纸牌图像库文件。看出点门道了吧，依旧是系统正常文件，依旧没有版本、没有签名，感觉事情不太对，但是系统已经进不去了，只好让朋友用PE启动，把c:\windows\system32\dllcache里面的services.exe复制到c:\windows\system32下替换同名文件，再重启，顺利进入系统了，再扫日志已经看不出什么问题了，至此问题解决！让朋友把原c:\windows\system32下的services.exe发过来了，当前最新版瑞星同样不报毒，乍一看与xp sp2系统正常文件一模一样（对比截图见3楼）在对比MD5，看出区别了被病毒修改过的services.exe的MD5：bdf585393edc9df5b9c6944225feb9e7 xp sp2系统正常services.exe的MD5：9cabf264ce1177cafbbba4b910a44c79 xp sp3系统正常services.exe的MD5：5edc33c1cfc364bc2e3ea66a75647914 目前已经发现被病毒恶搞过的文件有： cards.dll、cdfview.dll、lsass.exe、mfc40u.dll、services.exe、beep.sys、wuauclt.exe 处理方案： 1、已确认中此病毒，但系统尚能正常运行：直接下载附件“修复系统文件.zip”，解压后运行“修复系统文件.exe”，按提示操作即可，适用于xp sp2或sp3系统；附件: 修复系统文件.zip (2008-6-4 11:40:41, 3018.35 K) 该附件被下载次数 54633 2、已确认中此病毒，且系统已经瘫痪：可以通过其他电脑去下载“深山红叶PE工具V30“，将映像刻录成光盘，引导启动进入PE系统，然后下载”正常系统文件备份.zip“，解压后根据自己的操作系统将正常文件替换回去，适用于xp sp2或sp3系统；附件: 正常系统文件备份.zip (2008-6-4 11:40:41, 2766.58 K) 该附件被下载次数 5853 3、在处理病毒的过程用可以直接使用XDelBox完成dos下替换文件的操作，具体步骤，建议遵医嘱； PE工具使用方法可以参考“豪斯登堡新郎”发的帖子：http://bbs.ikaka.com/showtopic-8502100.aspx 更新记录： 2008年6月4日更新自动处理批处理和正常文件备份，增加wuauclt.exe文件； 2008年5月30日更新自动处理批处理和正常文件备份； 2008年5月7日更新处理方法，详情见：http://bbs.ikaka.com/showtopic-8502727.aspx 2008年5月5日更新，详情见13、14、15楼；本帖被评分 1 次本帖被评分 1 次 lqqk7 最后编辑于 2008-06-18 20:56:02 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-04 22:48 \| 只看楼主短消息资料字号：小中大 2楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 .dll 上的”问题这是病毒文件cdfview.dll，文件大小与xp sp2系统正常的cdfview.dll一致，但是没有了“版本”标签病毒文件dll.jpg* (102.22 K) 2008-5-4 22:50:05 这是xp sp2系统正常的cdfview.dll xp sp2的dll.jpg (103.25 K) 2008-5-4 22:50:05 xp sp2的dll2.jpg (87.56 K) 2008-5-4 22:50:05 xp sp2的dll3.jpg (89.05 K) 2008-5-4 22:50:05 这是xp sp3系统正常的cdfview.dll xp sp3的dll.jpg (99.28 K) 2008-5-4 22:50:05 xp sp3的dll2.jpg (88.04 K) 2008-5-4 22:50:05 xp sp3的dll3.jpg (85.82 K) 2008-5-4 22:50:05 lqqk7 最后编辑于 2008-05-04 22:50:05 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-04 22:48 \| 只看楼主短消息资料字号：小中大 3楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 .dll 上的”问题这是病毒修改过的services.exe，文件大小、版本信息与xp sp2系统正常services.exe完全相同病毒文件.JPG* (95.44 K) 2008-5-4 22:51:27 病毒文件1.jpg (87.09 K) 2008-5-4 22:51:27 这是xp sp2系统正常的services.exe xp sp2的exe.jpg (94.93 K) 2008-5-4 22:51:27 xp sp2的exe1.jpg (85.55 K) 2008-5-4 22:51:27 这是xp sp3系统正常的services.exe xp sp3的exe.jpg (96.89 K) 2008-5-4 22:51:27 xp sp3的exe1.jpg (85.46 K) 2008-5-4 22:51:27 lqqk7 最后编辑于 2008-05-04 22:51:27 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2008-05-04 23:04 \| 短消息资料字号：小中大 4楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题 WINDOWS文件保护啊! 很管用。但就是没人用。
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-04 23:08 \| 只看楼主短消息资料字号：小中大 5楼回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 .dll 上的”问题引用: 原帖由 baohe* 于 2008-5-4 23:04:00 发表 WINDOWS文件保护啊! 很管用。但就是没人用。是啊，真实想不明白为什么很多人都要关闭文件保护貌似很多人很烦那个提示框哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

vicarial 初生襁褓狮帖子:22 注册: 2008-04-30 来自:	发表于： 2008-05-04 23:23 \| 短消息资料字号：小中大 6楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题太复杂了……
vicarial 初生襁褓狮帖子:22 注册: 2008-04-30 来自:

sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方	发表于： 2008-05-05 04:55 \| 短消息资料字号：小中大 7楼回复 5F lqqk7 的帖子嘻嘻终于看到了解决的办法替换是能解决的，可是前几天求助者说都进不起系统了，所以没办法进行替换工作现在只有利用PE 回复帖子都要加入安装PE的提示，我汗~~~~~~~~
sako 社区嘉宾帖子:7496 注册: 2007-10-16 来自:遥远的地方

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-05-05 08:05 \| 短消息资料字号：小中大 8楼回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题学习了,赞叹大版主的求知精神打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2008-05-05 14:56 \| 短消息资料字号：小中大 9楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题已在部分系统中看到中毒后，是病毒终止了系统WINDOWS文件保护功能。所以开启也没用的。看来关于系统WINDOWS文件保护功能所有涉及的文件和注册表项。瑞星的内置规则里要加上默认保护了。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-05 15:05 \| 只看楼主短消息资料字号：小中大 10楼回复：关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题又看到变种了，感染lsass.exe，替换mfc40u.dll，稍后跟进详情！哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

<<上一主题|下一主题>>

12 3 4 5 6 7 8

1 / 8 页

跳转页

页面顶部

Powered by Discuz!NT