设为首页收藏本站
开启辅助访问

 找回密码
 立即注册

QQ登录

只需一步,快速开始

赛盟中国KZ玩家社区»社区 交流与分享 计算机技术 电脑病毒防治 查杀:复合型机器狗新变种Timplatform.exe,pcisvc.sys ...
返回列表 发新帖
查看: 1951|回复: 5

查杀:复合型机器狗新变种Timplatform.exe,pcisvc.sys

[复制链接]
Simen.Resh@d

该用户从未签到
发表于 2008-2-26 16:52:50 | 显示全部楼层 |阅读模式
作者:清新阳光

这是目前较新的复合型机器狗病毒的一个变种
File:9.exe
Size: 11938 bytes
Modified: 2008年2月19日, 9:07:12
MD5: F5B757796A08718A70A9422C05615E29
SHA1: 285C37B1762B3256764530EA384282FE1F18BE4C
CRC32: 825746A3
1.病毒初始化,注册服务iCafe Update
服务相关信息
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Start: 0x00000003
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ImagePath: "\??\%system32%\system32\drivers\pcisvc.sys"
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\DisplayName: "iCafe Update"
释放%system32%\system32\drivers\pcisvc.sys (机器狗驱动)并替换userinit.exe文件
2.释放%system32%\system32\netsrv.dll挂钩WH_GETMESSAGE函数
可能会监控如下dll的加载,并使用cmd.exe /c ren "%s" "%s"的命令将他们重命名为tmp%d.temp的形式
KvTrust.dll
UrlGuard.dll   
antispy.dll
safemon.dll
ieprot.dll
3.同时释放%system32%\system32\TIMPlatform.exe
该文件起到的是下载作用,会在%system32%目录下写入一个BOLE.INI的文件,该文件记录该病毒的版本和病毒下载列表的地址
同时可以检查病毒的最新版本下载:http://test.*.c0m/test.exe到c:\Update.exe
此次发现的病毒版本为VERSION=2008-2-3
病毒下载列表的地址为http://50.*.com/ri2.txt
4.以TAIL_ANTI的参数启动一个IE,但目的不明
5.TIMPlatform.exe以TAIL_JPG的参数启动IE读取BOLE.INI的配置文件下载病毒下载列表
并读取里面的下载地址下载木马
http://15.*.com/new/1.exe~http://*/new/18.exe
http://71.*.com/new/19.exe~http://11.*.com/new/30.exe
解决方法:
下载sreng:http://www.skycn.com/soft/23312.html#download
重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘
删除如下文件
%system32%\system32\drivers\pcisvc.sys
%system32%\system32\netsrv.dll
%system32%\system32\TIMPlatform.exe
%system32%\system32\BOLE.INI
2.打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
iCafe Update
3.替换userinit.exe
从其他相同系统版本的机器中拷贝一个userinit.exe复制到%system32%\system32\下面覆盖同名文件
如果不能覆盖 打开任务管理器 结束userinit.exe
4.使用杀毒软件或者手工方法清除其他木马和病毒
可以使用某些杀软公司出品的机器狗专杀
回复

使用道具 举报

Pepent

该用户从未签到
发表于 2008-2-26 16:58:38 | 显示全部楼层
唉,  自卑啊。。

看不懂這些深奧的東西呢。
回复 鲜花 鸡蛋

使用道具 举报

Flying.Fox

该用户从未签到
发表于 2008-2-26 17:05:21 | 显示全部楼层
说到病毒我就来火,今天中午还好好的,重启了一下,然后开始了,一启动,就注销,一启动,就注销,靠 谁能告诉我怎么回事啊
回复 鲜花 鸡蛋

使用道具 举报

VANS

该用户从未签到
发表于 2008-2-26 17:08:01 | 显示全部楼层
病毒多啊,还好偶装了好几个杀毒滴
回复 鲜花 鸡蛋

使用道具 举报

3_10*

该用户从未签到
发表于 2008-2-26 17:10:55 | 显示全部楼层
我很用心的看了!可是怎么都看不懂呢....
回复 鲜花 鸡蛋

使用道具 举报

ANGLEX

该用户从未签到
发表于 2008-2-26 17:32:59 | 显示全部楼层
不明白啊 电脑知识不懂啊
回复 鲜花 鸡蛋

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表