U盘病毒MSRS.EXE的解决办法

MSRS.EXE,U盘传播的下载者。

此病毒windows清理助手已经完全可以清除,这个病毒变种繁多,我的这个分析只是其中的一种,可能与你的情况有差别,如果清理后还有问题,欢迎给我的邮箱发你的病毒样本!

一个新样本
纳米下载地址

行为:
1,修改系统时间为三年前,干掉咔吧的监控,结束咔吧。
2,映像劫持常用杀毒软件和注册表,如360等
3,替换掉系统更新程序
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
4,访问ddd.xnibi.com下载病毒
5,添加启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
      explorer        c:\windows\system32\wuauclt.exe    
3个驱动
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
6,C:\windows\system32\auth.dll注入svchost.exe,干掉咔吧
7,利用cacls.exe修改修改文件访问控制权限
cacls.exe c:\windows\system32\packet.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f
cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f
cacls.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f

解决办法:
1,打开icesword,设置为禁止线进程创建。
2,进程:
结束o.exe,MSRS.EXE
打开svchost.exe,强制卸载c:\windows\system32\auth.dll
点击放大图片

打开winlogon.exe,强制卸载C:\WINDOWS\TEMP\~MY73.TMP
点击放大图片


3,文件:
强制删除
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
把禁止线进程创建取消。
4,用FileForceKiller清空所有temp目录和
c:\windows\system32\wnlnet.dll
c:\windows\system32\auth.dll
c:\windows\system32\wnnlnet.dll
c:\windows\system32\ehhrma.dll
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\TEMP\~MY73.TMP
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL
C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG
C:\WINDOWS\TEMP\MIRCRGFX.DAT
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
删除各个分区根目录下面的autorun.inf,MSRS.EXE

5,打开autoruns。
删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值
和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

6,复制正常的wuauclt.exe文件覆盖
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe

7,用sreng和windows清理助手扫描修复系统
一个windows清理助手脚本:




8,病毒样本
纳米下载地址


以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 金刀客 于 2009-12-30 11:25 AM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 2 | 引用: 0 | 查看次数: -
回复回复admin[2008-08-11 03:17 PM | del]
yiyidupiao,谁都是从不懂开始的。

你转到icesword的“进程”,选择一个进程后点击右键,选择“模块信息”,就可以了
回复回复yiyidupiao[2008-08-11 10:46 AM | del]
我是小白,请问楼主怎么打开上面那两个图啊
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.