使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等2
endurer 原创
2008-01-08 第1版
和之前遇到的其它AV杀手相似,mgemtjk.exe 将常见的安全工具,如HijackThis, IceSword,卡卡安全助手,全部作了映像劫持(pe_xscan 的 log 中的O26 - IFEO)。
任务管理器和WinRAR窗口会被强制关闭。
运行注册表编辑器regedit.exe,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options,删除其下的劫持项。
然后运行 IceSword,结果病毒模拟用户按键使IceSword窗口一闪而过,也被关闭了……
重启电脑,无法进入安全模式……
还是进入一般模式,用我的电脑打开mgemtjk.exe所在的文件夹C:/Program Files/Common Files/Microsoft Shared,窗口也会被关闭。不过在bat_do中通过dir命令,我们还是可以查看这个文件夹的内容:
D:/tools>dir C:/Program Files/Common Files/Microsoft Shared /a
驱动器 C 中的卷没有标签。
卷的序列号是 6459-0C30
C:/Program Files/Common Files/Microsoft Shared 的
2007-12-27 09:18 27,566 mtkt
2007-12-27 09:18 27,566 qknv
2007-12-27 09:18 27,566 edpn
2007-12-27 09:18 27,566 mkih
2007-12-27 09:18 27,566 khex
2007-12-27 09:18 27,566 pmfp
2007-12-27 09:18 27,566 wvnm
2007-12-27 09:18 27,566 renm
2007-12-27 09:18 27,566 qmfw
2007-12-27 09:18 27,566 pswu
2007-12-27 09:18 27,566 hfsn
2007-12-27 09:18 27,566 bjwb
2007-12-27 09:18 27,566 skvb
2007-12-27 09:18 27,566 lxtd
2007-12-27 09:18 27,566 blvw
2007-12-27 09:18 27,566 rrxu
2007-12-27 09:18 27,566 tkbp
2007-12-27 09:18 27,566 tcjp
2007-12-27 09:18 27,566 lbhb
2007-12-27 09:18 27,566 msfs
2007-12-27 09:18 27,566 kirh
2007-12-27 09:18 27,566 ypwk
2007-12-27 09:18 27,566 kwds
2007-12-27 09:18 27,566 qqvr
2007-12-27 09:18 27,566 xsgv
2007-12-27 09:18 27,566 phhd
2007-12-27 09:18 27,566 digg
2007-12-27 09:18 27,566 pvbe
2007-12-27 09:18 27,566 wiqt
2007-12-27 09:18 27,566 uxmr
2007-12-27 09:18 27,566 aqfv
2008-01-03 21:26 169 jhqocsd.inf
2007-12-27 09:18 27,566 qmtj
2007-12-27 09:18 27,566 ijef
2007-12-27 09:18 27,566 fgvk
2007-12-27 09:18 27,566 nxmx
2007-12-27 09:18 27,566 aaqr
2007-12-27 09:18 27,566 vqkh
2007-12-27 09:18 27,566 ssmu
2007-12-27 09:18 27,566 nupl
2007-12-27 09:18 27,566 eltd
2007-12-27 09:18 27,566 vhes
2007-12-27 09:18 27,566 bhst
2007-12-27 09:18 27,566 nqpk
2007-12-27 09:18 27,566 owop
2007-12-27 09:18 27,566 jidn
2007-12-27 09:18 27,566 tkea
2007-12-27 09:18 27,566 mgemtjk.exe
文件还真不少,使用 FileInfo提取文件信息,发现大多数文件内容是相同的。
D:/tools>type C:/Program Files/Common Files/Microsoft Shared/jhqocsd.inf
[AutoRun]
open=smsovct.exe
shell/open=打开(&O)
shell/open/Command=smsovct.exe
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=smsovct.exe
在这里我们还可以尝试用win xp 的 tasklist命令查找病毒进程的PID,然后用 taskkill 命令终止病毒进程。不过我没有这样做~
运行 msconfig.exe 取消 O4 组中的启动项。
把log中的红色显示的文件加入bat_do的待处理文件列表,全选,延时删除。然后选择其中一部分打包备份。再全选,改所选文件名,延时删除。
重启电脑……
再次检查有关的文件是否还存在,若还有残余则把它们拖入bat_do延时删除,重启……
卸载百度搜霸。
在msconfig.exe中恢复先前取消的O4组的启动项。
下载安装瑞星卡卡安全助手并运行,在高级功能—>[插件管理及卸载] 里把O2 和O24 项卸载掉
在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[IE及系统修复]里修复红色显示的部分,即 O6 项。