瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 cryptchr.dll病毒导致的开机winlogon出错关机没有反应的解决

1   1  /  1  页   跳转

cryptchr.dll病毒导致的开机winlogon出错关机没有反应的解决

收藏
我不是我
头像
自信弱冠狮
  • 帖子:362
  • 注册: 2003-10-11
  • 来自:
发表于: 2007-02-28 15:50 | 只看楼主 短消息 资料
字号: 1楼

cryptchr.dll病毒导致的开机winlogon出错关机没有反应的解决

病毒的名字不知道,反正卡巴和瑞星没报,不过病毒生成的文件c\windows\spoolsv。exe卡巴和瑞星都报了,我还在社区求助过,谢谢大家帮忙,当时的求助贴http://forum.ikaka.com/topic.asp?board=28&artid=8266443
其实这个病毒并不复杂,可是他的伪装很迷惑人(见图),我以为他是我系统更新时微软的什么东西---汗阿,警惕性太低了,当系统出现开机winlogon出错关机没有反应时还跑去系统软件区求助http://forum.ikaka.com/topic.asp?board=3&artid=8274982,后来终于给我找到了答案----http://bbs1.pediy.com/showthread.php?s=1b46d36563faf91114edadeefae65cf2&threadid=39152&perpage=10&highlight=&pagenumber=3(这个网页不知道有毒没有,我的kis没报毒)
spoolsv.exe只是这个马的表面,它只负责点击一个网页,提高其点击率
它的主要的模块是在c:\windows\system32\cryptchr.dll里,这个东西是这样加载的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
    <WinlogonNotify: RegMon32><cryptchr.dll>  [Microsoft Corporation]

cryptchr.dll里导出SysLogon和SysLogOff两个函数,SysLogon函数
003E530C >/>mov    dword ptr [3E767C], 6DDD00
003E5316  |>xor    eax, eax
003E5318  |>mov    [3E7680], eax
003E531D  |>mov    eax, 003E76A8
003E5322  |>call    003E35B4
003E5327  |>push    1
003E5329  |>push    0
003E532B  |>push    003E52DC
003E5330  |>push    0
003E5332  |>mov    eax, [3E60D8]
003E5337  |>push    eax
003E5338  |>call    <jmp.&winmm.timeSetEvent>
003E533D  |>mov    [3E7684], eax
003E5342  |>call    003E4C44
003E5347  |>call    003E4D60
003E534C  \>retn

SysLogOff函数
003E5350 >/$  E8 3BFDFFFF    call    003E5090
003E5355  |.  833D 84763E00 0>cmp    dword ptr [3E7684], 0
003E535C  |.  74 0B          je      short 003E5369
003E535E  |.  A1 84763E00    mov    eax, [3E7684]
003E5363  |.  50              push    eax
003E5364  |.  E8 ABF7FFFF    call    <jmp.&winmm.timeKillEvent>
003E5369  \>  C3              retn

彻底清除的步骤:
1. 终止spoolsv.exe
2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
    <WinlogonNotify: RegMon32><cryptchr.dll>  [Microsoft Corporation]
3. 删除c:\windows\system32\cryptchr.dll
  删除c:\windows\Temp\FileMap.dat
  删除c:\windows\spoolsv.exe
  删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西,特别是SDI_20061207[1].exe
  删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西


BTW:好像是上了黄网才会感染,当时我开了卡巴,但那天卡巴的病毒库还查不出这个,但昨天升级的病毒库当中就可以查出来了,但也是除标不除本,只删除掉spoolsv.exe,没用。
还有,Rising给了回复,说会在新版本中加入对它的查杀,但因为我没有提到cryptchr.dll,估计他们也是除标不除本

附件附件:

下载次数:377
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-28 15:50:45
描述:



最后编辑2007-02-28 15:55:51
分享到:
gototop
 
我不是我
头像
自信弱冠狮
  • 帖子:362
  • 注册: 2003-10-11
  • 来自:
发表于: 2007-02-28 16:00 | 只看楼主 短消息 资料
字号: 2楼

希望能给与我有一样问题的朋友一点帮助,也谢谢论坛里大家的帮助
gototop
 
logicl
头像
自信弱冠狮
  • 帖子:503
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-02-28 16:05 | 短消息 资料
字号: 3楼

了解了..顶一下.
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT