2007-2-2我所经历的OSO.exe病毒变种及其手杀过程:
一、症状(安全模式下):
1、进程severe.exe/tfidma.exe/两个conime.exe(这个进程是与输入法有关的系统进程,但正常情况下并不会出现的)
2、大多数可执行程序无法运行,双击就是激活病毒
3、瑞星、金山、江民等杀毒软件被K掉,并禁用其相关服务
4、无法访问瑞星、金山、江民等杀软公司的网站,查看hosts文件,原来是网站被病毒屏蔽了
4、运行regedit/msconfig...等无反应,运行就是激活病毒
5、可以运行gpedit.msc/mmc/cmd,但在cmd下用ntsd命令结束病毒进程的PID无效
6、无法显示隐藏文件,注册表无法导入
7、D、E、F等盘符双击打不开,右键打开就激活病毒
8、感染U盘后,能被识别,但看不到盘符,无法使用,用磁盘管理添加也不行
9、开机加载桌面特慢
10、弹出美女游戏网页
11、系统日期被改为2004-1-22
12、可以打开任务管理器
二、病毒分析:
因为无法用工具修改注册表显示隐藏文件,也不知道病毒文件名,我只好在cmd下用dir命令来查看文件,然后找到2004-1-22所创建的病毒文件,工作量很大。
创建文件----
C:\windows\system32\drivers\adamrf.exe(在杀毒过程中发现此为病毒激活及其自动修复的宿主文件)
C:\windows\system32\drivers\conime.exe(此为病毒自动修复进程的文件,进程)
C:\windows\system32\severe.exe(进程)
C:\windows\system32\tfidma.exe(进程)
C:\windows\system32\tfidma.dll(病毒动态链接)
C:\windows\system32\hx1.bat(修改系统日期)
C:\windows\system32\noruns.reg(修改并禁用注册表)
C:\windows\system32\auto_.cmd(使cmd下无法结束病毒进程,也无法用del命令删除病毒文件)
D、E、F等盘符根目录下都有autorun.inf和OSO.exe(使双击打不开磁盘,右键打开也会激活病毒)
修改hosts文件(能打开看到),屏蔽杀软公司的网站
三、手杀方法(没彻底杀毒之前切勿打开磁盘/杀软/regedit/msconfig...等,否则前功尽弃)
安全模式下
1、快速结束病毒进程树(动作一定要快速连贯,要按顺序,注意不是结束进程)
右击任务栏-任务管理器-进程-右键选一个conime.exe-点“结束进程树”确定;同法结束另一个conime.exe的进程树;再tfidma.exe;再severe.exe。
2、搜索并删除病毒文件
开始-设置-搜索-所有文件和文件夹-输入文件名(如adamrf.exe)、在C盘查找、高级选项必须选“搜索隐藏的文件”。分别搜索adamrf.exe/
conime.exe/severe.exe/tfidma.exe/tfidma.dll/hx1.bat/noruns.reg/auto_.cmd等,在搜索结果里删除文件。删不掉的话就用unlocker解锁删除。
但注意:
搜索conime.exe时要保留路径为C:\windows\system32下的conime.exe文件(此为输入法有关的系统文件),其他的都干掉。
在所有盘符分别搜索autorun.inf和OSO.exe并删除,搜索OSO.exe时发现瑞星安装路径里也有,删掉。
3、清理注册表
重启电脑(会提示系统找不到C:\windows\system32\drivers\conime.exe文件,没关系,因为病毒文件删除了,但它的注册表启动项还在),然后用超级兔子-清理王-清理系统-清理注册表,就把与此病毒有关的所有注册表项清理干净了。
4、修复注册表显示隐藏文件功能
开始运行regedit,打开注册表
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将原CheckedValue键删除,并新建正常的键值:
“CheckedValue”=dword:00000001
5、清理hosts文件
找到C:\windows\system32\drivers\etc\hosts,用记事本打开,清除被病毒加入的杀软公司网址内容
6、修复服务项
右键我的电脑-管理-服务-启用被病毒禁用的相关服务
7、修复安装被破坏的杀毒软件
8、修改系统时间
--------
补充:
今天找到U盘病毒专杀工具USBCleanerV4.0 Build20070201(浙大网络安全前线出品)能杀,下载地址
http://nick429.135.hezu1.com/update.htm
