遭遇“新版機器狗”

最近，很少研究病毒清除了。昨天，忙亂中收到電話求援，有一位同僚的系統不能用了，啟動不了，藍屏。去了一看，系統壞了，修複系統—》啟動成功了。接下來，殺軟報告出現了很多的病毒，殺不掉（殺軟有點兒垃圾）。重新開機——》安全模式，找了很多小工具都不能用（這裡提到一句，他用IFEO劫持技術，屏閉掉了很多工具）。

分析過程中，由于IFEO的原因，我把工具都改名了，才能分析得到這些東西的。也為快速的清除它，提供了友善。

分析：

1.釋放自身到啟動檔案夾随機加載：

%ALLUSERSPROFILE%\「開始」菜單\程式\啟動\AtiSrv.exe

2.寫入執行挂鈎：

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

   ffHADHAD1042.dll

HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}

c:\windows\system32\ffhadhad1042.dll

   Microsoft

HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}

c:\windows\system32\zjydcx.dll

HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}

c:\windows\system32\zgxfdx.dll

HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}

c:\windows\system32\hfrdzx.dll

   fJACJAC1041.dll

HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}

c:\windows\system32\fjacjac1041.dll

   fNNBNNB1032.dll

HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}

c:\windows\system32\fnnbnnb1032.dll

   fSACSAC1016.dll

HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}

c:\windows\system32\fsacsac1016.dll

HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}

c:\program files\internet explorer\plugins\winsys8v.sys（這部分剛開始沒看到，後來分析完了才發現，有這個檔案，我清除的過程中，這個是最後一個被發現的）

3.寫入Appinit_dlls（用hijackthis分析得到的）

現在很多的病毒的編寫，都是利用這裡，在安全模式下加載病毒，讓安全模式下也是病毒的運作環境。這部分寫入很多，無法具體的分析加載的東西，隻把這部分檔案名放上來

bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,bchib.dll,tzm.dll,r2.dll,slcs.dll,xptyj.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.dll,dqncj.dll,eve.dll,2nauygniqaixnaij.dll,niluw.dll,ijougiemnaw.dll,wtwx.dll,jghf.dll,msd.dll,asj.dll,her.dll,awf.dll,

4.下載下傳病毒到WINDOWS裡，以便運作它們（這是機器狗的比較明顯特征）

 可能因為，我同僚中毒以後，沒連上網，隻在，C:\windows下發現，28.EXE,27.EXE,兩個病毒

5.加載rootkits驅動進行自我保護(沒發現,可能用工具清除了吧)

6.寫入ntsd劫持(分析不清楚,隻看到一運作,就出現标題為ntsd的視窗,提示cuhad.dll映像無效)

7.IFEO劫持(屏閉一些軟體,由其是殺毒小工具,這包括了目前能知道的殺軟都在這裡呢.這裡感謝QQKAV軟體幫忙,得到這部分内容)

60rpt.exe

   360safe.exe

   360safebox.exe

   360tray.exe

   adam.exe

   AgentSvr.exe

   AppSvc32.exe

   autoruns.exe

   avconsol.exe

   avgrssvc.exe

   AvMonitor.exe

   avp.com

   avp.exe

   CCenter.exe

   ccSvcHst.exe

   EGHOST.exe

   FileDsty.exe

   FTCleanerShell.exe

   FYFireWall.exe

   HijackThis.exe

   IceSword.exe

   iparmo.exe

   Iparmor.exe

   isPwdSvc.exe

   kabaload.exe

   KaScrScn.SCR

   KASMain.exe

   KASTask.exe

   KAV32.exe

   KAVDX.exe

   KAVPF.exe

   KAVPFW.exe

   KAVSetup.exe

   KAVStart.exe

   KISLnchr.exe

   KMailMon.exe

   KMFilter.exe

   KPFW32.exe

   KPFW32X.exe

   KPfwSvc.exe

   KRegEx.exe

   KRepair.com

   KsLoader.exe

   KVCenter.kxp

   KvDetect.exe

   KvfwMcl.exe

   KVMonXP.kxp

   KVMonXP_1.kxp

   kvol.exe

   kvolself.exe

   KvReport.kxp

   KVScan.kxp

   KVSrvXP.exe

   KVStub.kxp

   kvupload.exe

   kvwsc.exe

   KvXP.kxp

   KvXP_1.kxp

   KWatch.exe

   KWatch9x.exe

   KWatchX.exe

   MagicSet.exe

   mcconsol.exe

   mmqczj.exe

   mmsk.exe

   Navapsvc.exe

   Navapw32.exe

   nod32.exe

   nod32krn.exe

   nod32kui.exe

   NPFMntor.exe

   OllyDBG.EXE

   OllyICE.EXE

   PFW.exe

   PFWLiveUpdate.exe

   procexp.exe

   QHSET.exe

   QQDoctor.exe

   QQKav.exe

   Ras.exe

   RavMonD.exe

   RavStub.exe

   RawCopy.exe

   RegClean.exe

   RegTool.exe

   rfwcfg.exe

   rfwmain.exe

   rfwProxy.exe

   rfwsrv.exe

   rfwstub.exe

   RsAgent.exe

   Rsaupd.exe

   runiep.exe

   safebank.exe

   safeboxTray.exe

   safelive.exe

   scan32.exe

   shcfg32.exe

   SmartUp.exe

   SREng.EXE

   symlcsvc.exe

   SysSafe.exe

   TrojanDetector.exe

   Trojanwall.exe

   TrojDie.kxp

   UIHost.exe

   UmxAgent.exe

   UmxAttachment.exe

   UmxCfg.exe

   UmxFwHlp.exe

   UmxPol.exe

   UpLive.exe

   vsstat.exe

   webscanx.exe

   WinDbg.exe

   WoptiClean.exe

清除：(首先,簡單說一說我的方法)

1.我把中毒的硬碟接到無毒的電腦上,清除了分析1,2的所得檔案(落下了c:\program files\internet explorer\plugins\winsys8v.sys,讓我走了不少彎路)

2.啟動電腦,這時我們的殺軟,不再提示有病毒,不過工具還是不能用,試了很方法還是不能運作,最後改名工具,可以用了.

3.用hijackthis分析解決了Appinit_dlls

4.用qqkav殺掉了其它病毒,還修複了IFEO項

5.修複我們的殺軟

至此,修複完成了

其實,網上有還有其它的方法清除,基本原理相同,清除關鍵是清掉分析中得到的檔案,修複IFEO項.

其它工具也可以清除

機器狗/AV終結者(版本号5.4)

機器狗映像劫持修複工具檢測與修複