瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

123   1  /  3  页   跳转

[原创] 关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

关于系统文件被破坏,开机提示“无法定位程序输入点”的问题

前天看了一份日志,其中可以见如下内容:


引用:
[PID: 604 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\cdfview.dll]  [N/A, ]


当时毫不犹豫的把C:\WINDOWS\system32\cdfview.dll删除了,结果求助者说重启进不了系统了,提示“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 cdfview.dll 上的”

立即去搜了一下,发现C:\WINDOWS\system32下确实有cdfview.dll文件,但是版本、签名一应俱全,日志中却不见这些信息,怀疑是被病毒替换掉了。

反病毒论坛版主“天月来了”拿到了一个cdfview.dll样本,虽然当前最新版本瑞星(20.42.62)不报毒,但是通过与正常系统文件对比不难发现,此文件确实已经不是系统本身的了。(对比截图见2楼)

对比MD5值也很容易发现差别
病毒文件cdfview.dll的MD5:382ae8b50eae940fb4e55b71e073e7e2
xp sp2系统正常cdfview.dll的MD5:42b9458751d81b0dda67a53a2c5bdef5
xp sp3系统正常cdfview.dll的MD5:8bb94215ea04f73a92a1b6966718d6fe

说来也巧,今天一个朋友发来一份日志,处理完以后竟然出现了类似的症状,只是提示略有不同:

应该属于不同的变种~

赶紧翻回来再看日志,发现如下内容:


引用:
[PID: 1036 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\cards.dll]  [N/A, ]


百度搜了一下cards.dll,是Windows纸牌游戏的纸牌图像库文件。看出点门道了吧,依旧是系统正常文件,依旧没有版本、没有签名,感觉事情不太对,但是系统已经进不去了,只好让朋友用PE启动,把c:\windows\system32\dllcache里面的services.exe复制到c:\windows\system32下替换同名文件,再重启,顺利进入系统了,再扫日志已经看不出什么问题了,至此问题解决!

让朋友把原c:\windows\system32下的services.exe发过来了,当前最新版瑞星同样不报毒,乍一看与xp sp2系统正常文件一模一样(对比截图见3楼)

在对比MD5,看出区别了
被病毒修改过的services.exe的MD5:bdf585393edc9df5b9c6944225feb9e7
xp sp2系统正常services.exe的MD5:9cabf264ce1177cafbbba4b910a44c79
xp sp3系统正常services.exe的MD5:5edc33c1cfc364bc2e3ea66a75647914

目前已经发现被病毒恶搞过的文件有:
cards.dll、cdfview.dll、lsass.exe、mfc40u.dll、services.exe、beep.sys、wuauclt.exe


处理方案:
1、已确认中此病毒,但系统尚能正常运行:直接下载附件“修复系统文件.zip”,解压后运行“修复系统文件.exe”,按提示操作即可,适用于xp sp2或sp3系统;

附件: 修复系统文件.zip (2008-6-4 11:40:41, 3018.35 K)
该附件被下载次数 54683



2、已确认中此病毒,且系统已经瘫痪
可以通过其他电脑去下载“深山红叶PE工具V30“,将映像刻录成光盘,引导启动进入PE系统,然后下载”正常系统文件备份.zip“,解压后根据自己的操作系统将正常文件替换回去,适用于xp sp2或sp3系统;

附件: 正常系统文件备份.zip (2008-6-4 11:40:41, 2766.58 K)
该附件被下载次数 5897



3、在处理病毒的过程用可以直接使用XDelBox完成dos下替换文件的操作,具体步骤,建议遵医嘱;

PE工具使用方法可以参考“豪斯登堡新郎”发的帖子:http://bbs.ikaka.com/showtopic-8502100.aspx


更新记录:
2008年6月4日更新
自动处理批处理和正常文件备份,增加wuauclt.exe文件
2008年5月30日更新自动处理批处理和正常文件备份;
2008年5月7日更新处理方法,详情见:http://bbs.ikaka.com/showtopic-8502727.aspx
2008年5月5日更新,详情见13、14、15楼
本帖被评分 1 次
最后编辑lqqk7 最后编辑于 2008-06-18 20:56:02
分享到:
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

这是病毒文件cdfview.dll,文件大小与xp sp2系统正常的cdfview.dll一致,但是没有了“版本”标签



这是xp sp2系统正常的cdfview.dll







这是xp sp3系统正常的cdfview.dll




最后编辑lqqk7 最后编辑于 2008-05-04 22:50:05
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题

这是病毒修改过的services.exe,文件大小、版本信息与xp sp2系统正常services.exe完全相同





这是xp sp2系统正常的services.exe





这是xp sp3系统正常的services.exe


最后编辑lqqk7 最后编辑于 2008-05-04 22:51:27
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上的”问题



引用:
原帖由 baohe 于 2008-5-4 23:04:00 发表
WINDOWS文件保护啊!
很管用。但就是没人用。 

是啊,真实想不明白为什么很多人都要关闭文件保护
貌似很多人很烦那个提示框
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

又看到变种了,感染lsass.exe,替换mfc40u.dll,稍后跟进详情!
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

抱歉,刚才临时有点事,未能及时跟进。

先看看原帖吧:http://bbs.ikaka.com/showtopic-8502004.aspx

此贴中的日志可见很多病毒,但是最值得注意的应该是这里,是不是跟楼顶的情况很相似,又是一个系统文件,但是没有版本、没有签名


引用:
[PID: 628 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\mfc40u.dll]  [N/A, ]


于是让求助者把lsass.exe和mfc40u.dll上传,对比了md5,证实了刚才的猜测
病毒修改过的lsass.exe的md5:55b6f249431ed02a1c6a8e045115079c
xp sp2系统正常的lsass.exe的md5:891600e79c38249028f1bacc1c6cc5d2
xp sp3系统正常的lsass.exe的md5:bc16a35900d8abdbce0d87e9fcf21f65

病毒修改过的mfc40u.dll的md5:d125ad2c2e2613a34619dd5a9bd92d89
xp sp2系统正常的mfc40u.dll的md5:413e8c9a856d60edc25a7d95a79bbfb9
xp sp3系统正常的mfc40u.dll的md5:fe9263c8ba97ddb0a6d1fd7b4c55cbd0

猜测此时如果贸然删除mfc40u.dll的结果应该是这样的:



让求助者使用XDelBox删除文件,并利用DOS重命名功能去替换lsass.exe和mfc40u.dll,但是重启后系统还是瘫了。这次的报错与以往不同,提示“应用程序正常初始化(0xc00000ba)失败。请单击“确定”终止应用程序。”
这个提示与感染橙八病毒后的症状相似,怀疑病毒可能还修改了其他系统文件。


再翻过来重看日志,初步判断问题可能出在这里:


引用:
[PID: 616 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\D3D9_32.DLL]  [N/A, ]


当然这还仅仅是推测,还未经证实!
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

附上文件对比图:
这是病毒修改过的lsass.exe:





这是xp sp2系统正常的lsass.exe:





这是xp sp3系统正常的lsass.exe


最后编辑lqqk7 最后编辑于 2008-05-05 22:48:00
gototop
 

回复:关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题

这是病毒修改过的mfc40u.dll:



这是xp sp2系统正常的mfc40u.dll





这是xp sp3系统正常的mfc40u.dll


最后编辑lqqk7 最后编辑于 2008-05-05 22:49:49
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题



引用:
原帖由 dragonkym 于 2008-5-6 9:02:00 发表
天月来了版主,我按照你说的方法打开XDelBox 1.7支持奥运版后,在导入文件列表的最后加上如下2行命令:
c:\windows\system32\cdfview.dll
dos#ren c:\windows\system32\cdfview.dll.bak cdfview.dll
(因为偶用360顽固木马专杀大全后只有这个文件是怎么也杀不掉…

花屏.......估计是显卡的事
用pe环境去替换文件吧,不要只替换cdfview.dll,services.exe也要替换!
gototop
 

回复: 关于“无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题



引用:
原帖由 ripl 于 2008-5-6 11:16:00 发表
除了比对md5码,还有其他办法区分被病毒感染的lsass.exe等文件吗?

dll文件看属性里是没有版本信息的,但是exe文件很难直观判断,上面的截图应该不难看出,无论是文件大小还是版本信息,都很难看出差异
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT