病毒样本来自剑盟。文件大小：38.4K；MD5值：395d9da8489b15e0a201460669f45511。

这个木马群貌似是机器狗的变种，但中招后比原来的旧版机器狗难杀。原因在于：

1、此毒的驱动msiffei.sys加载后恢复SSDT，可用的工具大多失效。预先打开的IceSword，如果没有其它工具守护也会被此毒关掉。
2、此毒在非系统分区含.exe文件的所有文件夹中释放病毒程序usp10.dll（隐藏的）。这个dll貌似随explorer.exe运行。因此，中招后重装系统者（仅仅改变系统分区内容）往往出现“重装后系统依然带毒”的情形。
3、连接网络的状态下，此毒下载明目繁多的“随机数字”名（无后缀）病毒程序到当前用户临时文件夹Temp中。这些程序加载后，在%system%目录下逐一释放病毒dll（很多）。
4、此毒在%windows%\Tasks\目录下释放一个名为“1”（无后缀）的病毒文件，手工杀毒时，此文件容易被中招者忽略。
5、此毒还释放下列病毒文件：
C:\windows\fonts\ComRes.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf               
c:\program files\internet explorer\powernent.onz
6、此毒比较阴损，通过替换系统驱动beep.sys替换系统程序userinit.exe，还篡改win.ini文件。在中毒状态下，查看被篡改的win.ini文件的内容——————无异常。如果中招用户仅仅将后面附表中所列的病毒文件统统删除，而忘记将这两个重要系统文件复原，那么下次系统启动时，用户无法进入系统。


使用Autoruns、WINRAR配合XDELBOX 1.8 的手工杀毒流程：

1、先打开WINRAR，查看当前用户临时文件夹Temp、C:\WINDOWS\Fonts、C:\Program Files\Internet Explorer\等目录下的内容。将将所见病毒程序逐一记录在一个记事本文件中。
2、用autoruns扫日志。将autoruns日志发现的病毒程序也逐一记入前面的记事本文件中（图1）。

3、用U盘从正常同类系统的电脑上拷贝C:\WINDOWS\ win.ini（改名为0.txt）以及C:\WINDOWS\system32\userinit.exe（改名为0.exe），然后，将U盘中的C:\WINDOWS\0.txt和C:\WINDOWS\system32\0.exe分别拷贝到％WINDOWS％目录和％system％目录下。
将下列内容也粘贴到上述记事本文件中：
dos#ren C:\WINDOWS\0.txt win.ini
dos#ren C:\WINDOWS\system32\0.exe userinit.exe
4、全选记事本文件的所有内容（图1），按ctrl_C。


5、打开XDELBOX，右击XDELBOX窗口，点击：“剪贴板导入不检查路径”。将病毒程序名全部导入（图2）。



6、点击“抑制再生”（图3）



7、右击XDELBOX窗口，点击“立即重启执行删除”（图4）。



系统重启后，XDELBOX进入DOS环境，逐一将导入的病毒程序删除，并将C:\WINDOWS\0.txt 改名为win.ini；将C:\WINDOWS\system32\0.exe 改名为userinit.exe。然后重启到windows系统。

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

8、重新进入系统后，打扫一下垃圾（清除注册表中病毒添加的加载项以及XDELBOX为抑制病毒程序再生而创建的同名文件夹；图5－图13）。然后，删除病毒添加的IFEO劫持项（我这里见到的是劫持瑞星2009和迅雷）。

最后，将hosts文件中病毒添加的内容删除，保存hosts。


图5：

图6


图7





图8



图9



图10



图11



图12




图13

注意：
1、appinit_dll项可能很难删除。用IceSword强制删除只即可。删除后，自己再重建一个，填上正常的键值即可（瑞星用户此键值是kmon.dll）

2、有中招者反映：中此毒后，系统程序ctfmon.exe和rpcss.dll被病毒替换。我这里查过，对比中招前后的这两个文件的大小和MD5，均无改变。因此，未处理这两个文件。
如果有确实证据显示这两个文件被病毒搞了，请将其复原（从dllcache目录下拷贝到system32目录下；也可从未中此毒的电脑中拷贝这两个文件到已经手工杀毒后的中招电脑中）。

————————————————————

附上我完全中招后找到的全部病毒文件列表（病毒文件名是变化的。此表仅供参考）：

C:\Documents and Settings\baohelin\Local Settings\Temp\109ef1.dll
C:\Documents and Settings\baohelin\Local Settings\Temp\1157238
C:\Documents and Settings\baohelin\Local Settings\Temp\5F.tmp.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\b.bat
C:\Documents and Settings\baohelin\Local Settings\Temp\WowInitcode.dat
C:\Documents and Settings\baohelin\Local Settings\Temp\wsasystem.gif
C:\Documents and Settings\baohelin\Local Settings\Temp\11231237
C:\Documents and Settings\baohelin\Local Settings\Temp\1437460
C:\Documents and Settings\baohelin\Local Settings\Temp\1518277
C:\Documents and Settings\baohelin\Local Settings\Temp\1529262
C:\WINDOWS\system32\drivers\msiffei.sys
C:\WINDOWS\system32\drivers\beep.sys
c:\windows\system32\6BB957B4.dat
c:\windows\system32\anymie360.exe
c:\windows\system32\anymie360.dll
c:\windows\system32\anymie360.ini
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\oohelamb.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\bmnejfck.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jgbpepnb.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
c:\program files\internet explorer\powernent.onz
c:\windows\system32\Drivers\msiffei.sys
c:\windows\system32\6bb957b4.dat
c:\windows\system32\bmnejfck.dll
C:\windows\fonts\ComRes.dll
C:\windows\Tasks\1
e:\usp10.dll
c:\windows\fonts\comres.dll
c:\windows\system32\cpjbmhmm.dll
c:\windows\system32\dpabnlge.dll
c:\windows\system32\fennkeag.dll
c:\windows\system32\finhiabn.dll
c:\windows\system32\jaijjgib.dll
c:\windows\system32\jkglggoa.dll
c:\windows\system32\kmkkbnkf.dll
c:\windows\system32\mcfkkald.dll
c:\windows\system32\mnmijfnp.dll
c:\windows\system32\ooamfhbi.dll
c:\windows\system32\oohelamb.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
C:\WINDOWS\Fonts\CtmRes.dll

附件就是XDELBOX 1.8 ，无密码。

附件: XDELBOX.rar (2009-1-28 23:04:04, 1024.30 K)
该附件被下载次数 4032

我中毒以后，rpcss.dll和ctfmon.exe也被替换了，也要换回来。貌似这个病毒不会感染exe，昨天杀掉的，今天还没有复发的症状，还不错。

我正在研究这个病毒
但是一运行过会就蓝屏

恐怕不是同一个变种或运行环境/具体条件不同吧。我的rpcss.dll和ctfmon.exe正常（对比过运行病毒样本前后这两个文件的MD5）。

ctfmon.exe被感染了（机器狗搞的？？）

在剑盟猫叔你的回帖：

%temp%释放多个文件，应该是随机数字的（没后缀）


还有几个随机数字的dll文件

如果C:\WINDOWS\ win.ini和C:\WINDOWS\system32\userinit.exe这两个文件在删除其他病毒文件的情况下，不同时替换回来。

就会系统重启进不了吗？？

或者只将C:\WINDOWS\system32\userinit.exe文件替换回去，还是会因为C:\WINDOWS\ win.ini这个的影响，继续下载病毒？？？

一头雾水！

删除所有病毒文件，而不恢复C:\WINDOWS\system32\userinit.exe，就重启系统，你绝对傻眼。
至于被病毒改动的C:\WINDOWS\ win.ini，其中多出来的内容就是那堆病毒dll。