System Repair Engineer v2.6 Build 980 Beta 4
【公告】为了备案,临时变更域名!
1
2008/05/06 
01:06 
1670
2008年6月1日更新自动处理方法
此问题之前已经有过简单的介绍,详见: 关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题
今天说的是一个新的变种,对系统的破坏程度可以说是变本加厉,故更新解决方案,暂时以此文为准!
先看看原帖吧:http://bbs.ikaka.com/showtopic-8502004.aspx
此贴中的日志可见很多病毒,但是最值得注意的应该是这里,是不是跟楼顶的情况很相似,又是一个系统文件,但是没有版本、没有签名
于是让求助者把lsass.exe和mfc40u.dll上传,对比了md5,证实了刚才的猜测
病毒修改过的lsass.exe的md5:55b6f249431ed02a1c6a8e045115079c
xp sp2系统正常的lsass.exe的md5:891600e79c38249028f1bacc1c6cc5d2
xp sp3系统正常的lsass.exe的md5:bc16a35900d8abdbce0d87e9fcf21f65
病毒修改过的mfc40u.dll的md5:d125ad2c2e2613a34619dd5a9bd92d89
xp sp2系统正常的mfc40u.dll的md5:413e8c9a856d60edc25a7d95a79bbfb9
xp sp3系统正常的mfc40u.dll的md5:fe9263c8ba97ddb0a6d1fd7b4c55cbd0
让求助者使用XDelBox删除文件,并利用DOS重命名功能去替换lsass.exe和mfc40u.dll,但是重启后系统还是瘫了。这次的报错与以往不同,提示“应用程序正常初始化(0xc00000ba)失败。请单击“确定”终止应用程序。”
这个提示与感染橙八病毒后的症状相似,怀疑病毒可能还修改了其他系统文件。
再翻过来重看日志,初步判断问题可能出在这里:
当然这还仅仅是推测,还未经证实!
附上文件对比图:
这是病毒修改过的lsass.exe:
这是xp sp2系统正常的lsass.exe:
这是xp sp3系统正常的lsass.exe:
这是病毒修改过的mfc40u.dll:
这是xp sp2系统正常的mfc40u.dll:
这是xp sp3系统正常的mfc40u.dll:
手动解决方案:
目前已经发现被病毒恶搞过的文件有:
cards.dll、cdfview.dll、lsass.exe、mfc40u.dll、services.exe、beep.sys、wuauclt.exe
本贴附件更新,已经包含xp sp2和xp sp3中的正常上述文件,方便那些没有文件保护,且清理过dllcache的朋友下载。
1、已确认中此病毒,但系统尚能正常运行:直接下载附件“修复系统文件.zip”,解压后运行“修复系统文件.exe”,按提示操作即可,适用于xp sp2或sp3系统;
下载文件 (已下载 186 次)
2、已确认中此病毒,且系统已经瘫痪:可以通过其他电脑去下载“深山红叶PE工具V30“,将映像刻录成光盘,引导启动进入PE系统,有大容量U盘的朋友也可以自制多功能引导U盘(内含PE系统),制作方法见:手把手教你制作多功能引导U盘【推荐】[/color]。然后下载”正常系统文件备份.zip“,解压后根据自己的操作系统将正常文件替换回去,适用于xp sp2或sp3系统;
下载文件 (已下载 108 次)
3、在处理病毒的过程用可以直接使用XDelBox完成dos下替换文件的操作,具体步骤,建议遵医嘱! 
请给这篇日志评个分吧!
最后编辑: lqqk7 编辑于2008/06/19 21:24
此问题之前已经有过简单的介绍,详见: 关于“services.exe无法找到入口,无法定位程序输入点 HttpAddUrl 于动态链接库 *.dll 上”的问题
今天说的是一个新的变种,对系统的破坏程度可以说是变本加厉,故更新解决方案,暂时以此文为准!
先看看原帖吧:http://bbs.ikaka.com/showtopic-8502004.aspx
此贴中的日志可见很多病毒,但是最值得注意的应该是这里,是不是跟楼顶的情况很相似,又是一个系统文件,但是没有版本、没有签名
引用
[PID: 628 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mfc40u.dll] [N/A, ]
[C:\WINDOWS\system32\mfc40u.dll] [N/A, ]
于是让求助者把lsass.exe和mfc40u.dll上传,对比了md5,证实了刚才的猜测
病毒修改过的lsass.exe的md5:55b6f249431ed02a1c6a8e045115079c
xp sp2系统正常的lsass.exe的md5:891600e79c38249028f1bacc1c6cc5d2
xp sp3系统正常的lsass.exe的md5:bc16a35900d8abdbce0d87e9fcf21f65
病毒修改过的mfc40u.dll的md5:d125ad2c2e2613a34619dd5a9bd92d89
xp sp2系统正常的mfc40u.dll的md5:413e8c9a856d60edc25a7d95a79bbfb9
xp sp3系统正常的mfc40u.dll的md5:fe9263c8ba97ddb0a6d1fd7b4c55cbd0
让求助者使用XDelBox删除文件,并利用DOS重命名功能去替换lsass.exe和mfc40u.dll,但是重启后系统还是瘫了。这次的报错与以往不同,提示“应用程序正常初始化(0xc00000ba)失败。请单击“确定”终止应用程序。”
这个提示与感染橙八病毒后的症状相似,怀疑病毒可能还修改了其他系统文件。
再翻过来重看日志,初步判断问题可能出在这里:
引用
[PID: 616 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\D3D9_32.DLL] [N/A, ]
[C:\WINDOWS\system32\D3D9_32.DLL] [N/A, ]
当然这还仅仅是推测,还未经证实!
附上文件对比图:
这是病毒修改过的lsass.exe:
这是xp sp2系统正常的lsass.exe:
这是xp sp3系统正常的lsass.exe:
这是病毒修改过的mfc40u.dll:
这是xp sp2系统正常的mfc40u.dll:
这是xp sp3系统正常的mfc40u.dll:
手动解决方案:
目前已经发现被病毒恶搞过的文件有:
cards.dll、cdfview.dll、lsass.exe、mfc40u.dll、services.exe、beep.sys、wuauclt.exe
本贴附件更新,已经包含xp sp2和xp sp3中的正常上述文件,方便那些没有文件保护,且清理过dllcache的朋友下载。
1、已确认中此病毒,但系统尚能正常运行:直接下载附件“修复系统文件.zip”,解压后运行“修复系统文件.exe”,按提示操作即可,适用于xp sp2或sp3系统;
下载文件 (已下载 186 次)2、已确认中此病毒,且系统已经瘫痪:可以通过其他电脑去下载“深山红叶PE工具V30“,将映像刻录成光盘,引导启动进入PE系统,有大容量U盘的朋友也可以自制多功能引导U盘(内含PE系统),制作方法见:手把手教你制作多功能引导U盘【推荐】[/color]。然后下载”正常系统文件备份.zip“,解压后根据自己的操作系统将正常文件替换回去,适用于xp sp2或sp3系统;
下载文件 (已下载 108 次)3、在处理病毒的过程用可以直接使用XDelBox完成dos下替换文件的操作,具体步骤,建议遵医嘱!
创作共用约定:
本作品采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可。
作者:lqqk7
出处:lqqk7'的猫窝
地址:http://www.qispace.com.cn/read.php/30.htm
转载时请遵守上述约定并保留以上信息!
请给这篇日志评个分吧!
最后编辑: lqqk7 编辑于2008/06/19 21:24
Tags: cards.dll , httpaddurl , 无法定位程序输入点 , services.exe , lsass.exe , cdfview.dll , mfc40u.dll | 分类:病毒查杀 | 来源:本站原创 | 引用(0)
1 
| | 