System Repair Engineer v2.6 Build 968 Beta 3
System Repair Engineer v2.6 Build 980 Beta 4
0
2008/05/04 
22:37 
774
2008年5月5日:
此问题已经发现新变种,详情见:关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题(续)
前天看了一份日志,其中可以见如下内容:
当时毫不犹豫的把C:\WINDOWS\system32\cdfview.dll删除了,结果求助者说重启进不了系统了,提示“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 cdfview.dll 上的”
立即去搜了一下,发现C:\WINDOWS\system32下确实有cdfview.dll文件,但是版本、签名一应俱全,日志中却不见这些信息,怀疑是被病毒替换掉了。
反病毒论坛版主“天月来了”拿到了一个cdfview.dll样本,虽然当前最新版本瑞星(20.42.62)不报毒,但是通过与正常系统文件对比不难发现,此文件确实已经不是系统本身的了。
这是病毒文件cdfview.dll,文件大小与xp sp2系统正常的cdfview.dll一致,但是没有了“版本”标签
这是xp sp2系统正常的cdfview.dll
这是xp sp3系统正常的cdfview.dll
对比MD5值也很容易发现差别
病毒文件cdfview.dll的MD5:382ae8b50eae940fb4e55b71e073e7e2
xp sp2系统正常cdfview.dll的MD5:42b9458751d81b0dda67a53a2c5bdef5
xp sp3系统正常cdfview.dll的MD5:8bb94215ea04f73a92a1b6966718d6fe
今天一个朋友发来一份日志,处理完以后竟然出现了类似的症状,只是提示略有不同:
赶紧翻回来再看日志,发现如下内容:
百度搜了一下cards.dll,是Windows纸牌游戏的纸牌图像库文件。看出点门道了吧,依旧是系统正常文件,依旧没有版本、没有签名,感觉事情不太对,但是系统已经进不去了,只好让朋友用PE启动,把c:\windows\system32\dllcache里面的services.exe复制到c:\windows\system32下替换同名文件,再重启,顺利进入系统了,再扫日志已经看不出什么问题了,至此问题解决!
让朋友把原c:\windows\system32下的services.exe发过来了,当前最新版瑞星同样不报毒,乍一看与xp sp2系统正常文件一模一样
这是病毒修改过的services.exe,文件大小、版本信息与xp sp2系统正常services.exe完全相同
这是xp sp2系统正常的services.exe
这是xp sp3系统正常的services.exe
在对比MD5,看出区别了
被病毒修改过的services.exe的MD5:bdf585393edc9df5b9c6944225feb9e7
xp sp2系统正常services.exe的MD5:9cabf264ce1177cafbbba4b910a44c79
xp sp3系统正常services.exe的MD5:5edc33c1cfc364bc2e3ea66a75647914
被病毒恶搞过的services.exe和cdfview.dll已经上报瑞星了,目前的处理方法,恐怕要利用XDelBox的DOS重命名功能了
附件是xp sp2和xp sp3系统的正常services.exe和cdfview.dll,中此病毒者先下载附件,解压缩,里面有两个文件夹“sp2”和“sp3”,根据你的操作系统将对应文件夹中的两个文件复制到c:\windows\system32下,解压后直接复制就好,不要改名
然后打开XDelBox,根据日志去删除病毒文件,在导入文件列表的最后加上如下4行命令:
c:\windows\system32\cdfview.dll
c:\windows\system32\services.exe
dos#ren c:\windows\system32\cdfview.dll.bak cdfview.dll
dos#ren c:\windows\system32\services.exe.bak services.exe
更新后的解决方法见:
同时不要勾选“抑制再生”
然后就可以重启执行删除了!
如果手头有PE的朋友,操作起来要更方便一些,删除所有病毒文件后,用PE引导启动,直接到c:\windows\system32\dllcache下面去把正常的文件替换到c:\windows\system32下就可以了。
更新过的处理方法见:关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题(续) 
请给这篇日志评个分吧!
最后编辑: lqqk7 编辑于2008/05/06 01:11
此问题已经发现新变种,详情见:关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题(续)
前天看了一份日志,其中可以见如下内容:
引用
[PID: 604 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cdfview.dll] [N/A, ]
[C:\WINDOWS\system32\cdfview.dll] [N/A, ]
当时毫不犹豫的把C:\WINDOWS\system32\cdfview.dll删除了,结果求助者说重启进不了系统了,提示“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 cdfview.dll 上的”
立即去搜了一下,发现C:\WINDOWS\system32下确实有cdfview.dll文件,但是版本、签名一应俱全,日志中却不见这些信息,怀疑是被病毒替换掉了。
反病毒论坛版主“天月来了”拿到了一个cdfview.dll样本,虽然当前最新版本瑞星(20.42.62)不报毒,但是通过与正常系统文件对比不难发现,此文件确实已经不是系统本身的了。
这是病毒文件cdfview.dll,文件大小与xp sp2系统正常的cdfview.dll一致,但是没有了“版本”标签
这是xp sp2系统正常的cdfview.dll
这是xp sp3系统正常的cdfview.dll
对比MD5值也很容易发现差别
病毒文件cdfview.dll的MD5:382ae8b50eae940fb4e55b71e073e7e2
xp sp2系统正常cdfview.dll的MD5:42b9458751d81b0dda67a53a2c5bdef5
xp sp3系统正常cdfview.dll的MD5:8bb94215ea04f73a92a1b6966718d6fe
今天一个朋友发来一份日志,处理完以后竟然出现了类似的症状,只是提示略有不同:
赶紧翻回来再看日志,发现如下内容:
引用
[PID: 1036 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\cards.dll] [N/A, ]
[C:\WINDOWS\system32\cards.dll] [N/A, ]
百度搜了一下cards.dll,是Windows纸牌游戏的纸牌图像库文件。看出点门道了吧,依旧是系统正常文件,依旧没有版本、没有签名,感觉事情不太对,但是系统已经进不去了,只好让朋友用PE启动,把c:\windows\system32\dllcache里面的services.exe复制到c:\windows\system32下替换同名文件,再重启,顺利进入系统了,再扫日志已经看不出什么问题了,至此问题解决!
让朋友把原c:\windows\system32下的services.exe发过来了,当前最新版瑞星同样不报毒,乍一看与xp sp2系统正常文件一模一样
这是病毒修改过的services.exe,文件大小、版本信息与xp sp2系统正常services.exe完全相同
这是xp sp2系统正常的services.exe
这是xp sp3系统正常的services.exe
在对比MD5,看出区别了
被病毒修改过的services.exe的MD5:bdf585393edc9df5b9c6944225feb9e7
xp sp2系统正常services.exe的MD5:9cabf264ce1177cafbbba4b910a44c79
xp sp3系统正常services.exe的MD5:5edc33c1cfc364bc2e3ea66a75647914
被病毒恶搞过的services.exe和cdfview.dll已经上报瑞星了,
附件是xp sp2和xp sp3系统的正常services.exe和cdfview.dll,中此病毒者先下载附件,解压缩,里面有两个文件夹“sp2”和“sp3”,根据你的操作系统将对应文件夹中的两个文件复制到c:\windows\system32下,解压后直接复制就好,不要改名
然后打开XDelBox,根据日志去删除病毒文件,在导入文件列表的最后加上如下4行命令:
c:\windows\system32\services.exe
dos#ren c:\windows\system32\cdfview.dll.bak cdfview.dll
dos#ren c:\windows\system32\services.exe.bak services.exe
同时不要勾选“抑制再生”
然后就可以重启执行删除了!
如果手头有PE的朋友,操作起来要更方便一些,删除所有病毒文件后,用PE引导启动,直接到c:\windows\system32\dllcache下面去把正常的文件替换到c:\windows\system32下就可以了。
更新过的处理方法见:关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题(续)
创作共用约定:
本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。
作者:lqqk7
出处:lqqk7'的猫窝
地址:http://www.qispace.com.cn/read.php/28.htm
转载时请遵守上述约定并保留以上信息!
请给这篇日志评个分吧!
最后编辑: lqqk7 编辑于2008/05/06 01:11
| | 