dudu@IT博客网

IT博客网站长

OSO病毒、bryato

OSO病毒与"windows找不到文件"的问题解决
这次中了一个比较猛的病毒,除了老套路之外唯一的"创新"在注册表方面..
-----------------------------------------------分隔线-----------------------------------------
【进程添加】severe.exe conmie.exe jusodl.exe
其中severe.exe是关键进程,结束该进程可接着结束后2进程.如何直接结束后2进程它会自动检查重建的.并且jusodl.exe这个文件是在用户硬盘随机生产的名字,应当有所注意.
【文件添加】
C盘内
C:\WINDOWS\system32\jusodl.exe 文件名随机生成
C:\WINDOWS\system32\jusodl.dll   同上
C:\WINDOWS\system32\severe.exe
C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\drivers\pnvifj.exe 名字应该也是随机的
这意味着安全模式下病毒也会随驱动加载运行;
C盘外其它各盘盘根生成OSO.exe与autorun.inf文件
-----------------------------------------------分隔线-----------------------------------------
autorun.inf的内容为
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
这意味着你直接双击其它盘时就会运行OSO病毒,该内容在网上被介绍为无论双击或右键点击,都会激活病毒,不过我忘了我是怎么把它改名后做成标本的,反正oso没直接运行,..
-----------------------------------------------分隔线-----------------------------------------
篡改添加隐藏的host文件在C:\WINDOWS\system32\drivers\etc文件夹
-----------------------------------------------分隔线-----------------------------------------
host内容如下
127.0.0.1     localhost
127.0.0.1     mmsk.cn
127.0.0.1     ikaka.com
127.0.0.1     safe.qq.com
127.0.0.1     360safe.com
127.0.0.1    
www.mmsk.cn
127.0.0.1     www.ikaka.com
127.0.0.1     tool.ikaka.com
127.0.0.1    
www.360safe.com
127.0.0.1     zs.kingsoft.com
127.0.0.1     forum.ikaka.com
127.0.0.1     up.rising.com.cn
127.0.0.1     scan.kingsoft.com
127.0.0.1     kvup.jiangmin.com
127.0.0.1     reg.rising.com.cn
127.0.0.1     update.rising.com.cn
127.0.0.1     update7.jiangmin.com
127.0.0.1     download.rising.com.cn
127.0.0.1     dnl-us1.kaspersky-labs.com
127.0.0.1     dnl-us2.kaspersky-labs.com
127.0.0.1     dnl-us3.kaspersky-labs.com
127.0.0.1     dnl-us4.kaspersky-labs.com
127.0.0.1     dnl-us5.kaspersky-labs.com
127.0.0.1     dnl-us6.kaspersky-labs.com
127.0.0.1     dnl-us7.kaspersky-labs.com
127.0.0.1     dnl-us8.kaspersky-labs.com
127.0.0.1     dnl-us9.kaspersky-labs.com
127.0.0.1     dnl-us10.kaspersky-labs.com
127.0.0.1     dnl-eu1.kaspersky-labs.com
127.0.0.1     dnl-eu2.kaspersky-labs.com
127.0.0.1     dnl-eu3.kaspersky-labs.com
127.0.0.1     dnl-eu4.kaspersky-labs.com
127.0.0.1     dnl-eu5.kaspersky-labs.com
127.0.0.1     dnl-eu6.kaspersky-labs.com
127.0.0.1     dnl-eu7.kaspersky-labs.com
127.0.0.1     dnl-eu8.kaspersky-labs.com
127.0.0.1     dnl-eu9.kaspersky-labs.com
127.0.0.1     dnl-eu10.kaspersky-labs.com
这意味着这些站点你将无法使用它的在线杀毒之类,因为无法打开.
-----------------------------------------------分隔线-----------------------------------------
【注册表修改】
启动项目
pnvifj>>C:\WINDOWS\system32\jusodl.exe   文件名随机生成并指定该文件
jusodl >>C:\WINDOWS\system32\severe.exe
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下面的shell,把原来的内容Explorer.exe修改为Explorer.exe C:\WINDOWS\system32\drivers\conime.exe
-----------------------------------------------分隔线-----------------------------------------
创建HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项目,该项目所列黑名单的程序(包含常用的例如msconfig,regedit以及安全的例如咔吧,冰刃)都无法运行,在病毒存在时直接将咔吧之类的安全程式运行成病毒程序!在病毒被删除后由系统提示"windows找不到文件",虽然你会发现那些程序还在原位置.这是目前我所见到的最毒的注册表项目!exe文件的跳转功能!!
注册表,咔吧,sreng,冰刃之类的被禁止了,不过兔子,超级巡警还没上它的黑名单.

其内容列举:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\pnvifj.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcnet.dll]
-----------------------------------------------分隔线-----------------------------------------
【其它破坏行为】
关闭多用户服务并删除相关用户文件,关闭系统还原功能删除还原点,修改系统时间为2004年01月22号
-----------------------------------------------分隔线-----------------------------------------
【解决方法】
01.任务管理器先结束severe.exe然后结束conime.exe和随机文件名的exe例如jusodl.exe进程

02.复制粘贴一个或重命名regedit.exe为rg.exe之类的,进入注册表查找并删除run键下的severe.exe以及随机名字的jusodl.exe之类
修复HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下面的shell,把Explorer.exe C:\WINDOWS\system32\drivers\conime.exe重新改成Explorer.exe

03.最关键的,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\下面的Image File Execution Options项目,事实上我现在认为这个项目应该是某些单位禁止个人使用某些程式而设置的.但是该项目的弱点在于改了程式文件名就可以继续使用该程式了.

04.删除下列文件
C:\WINDOWS\system32的jusodl.exe (文件名随机生成),jusodl.dll (同前) 以及severe.exe
C:\WINDOWS\system32\drivers里面最新的文件conime.exe pnvifj.exe
C:\WINDOWS\system32\drivers\etc的host删了然后新建一个空白txt去掉后缀改名host放那就可以了.
从左侧的资源树进入并删除各盘根下的OSO.exe与autorun.inf文件,这里如果从右边点或双击就又病毒发作了.
来源:http://www.dragonarea.com/bbs/read.php?tid=45287

posted on 2007-04-08 22:47 dudu 阅读(1744) 评论(3)  编辑 收藏 引用

评论

# re: OSO病毒、bryato 2007-05-19 19:09 有得有失

5555555555我就中了这毒```````我要疯了  回复  更多评论   

# re: OSO病毒、bryato 2007-06-20 12:16 火狐

跪谢!终于找到解决方法了!  回复  更多评论   

# re: OSO病毒、bryato 2007-06-20 12:17 DELL网站

这个鸟毒可把我吭惨了,谢天谢地,谢谢博主分享方法!  回复  更多评论   

只有注册用户登录后才能发表评论。

公告

博客园
IT新闻

导航

<2007年4月>
25262728293031
1234567
891011121314
15161718192021
22232425262728
293012345

统计

常用链接

留言簿(232)

随笔分类

随笔档案

文章分类

相册

微软产品技术

搜索

最新评论

阅读排行榜

评论排行榜