zcllom 发表于 2009-1-30 18:47:32

中病毒了,凡是有exe的文件夹里都生成了假冒的usp10.dll,总共查出了上千个,用360杀了,不

    木马名称:TrojanDownloader/Win32.Agent.OQW,被这个东西折磨了一下午才弄好(还不一定,不过现在系统平静多了:cpu、内存占有率正常了,但现在还不敢大意,不敢运行exe文件)。



    一直都是裸奔上网,因为我喜欢低cpu、低内存占有率,平常只上点正经网站,在病毒如林的网络世界里,只能洁身自爱了。但有时候还是要下载工具,估计问题就出在这里了。昨晚在摸索一个工具,玩着玩着,觉得有点不正常。一向速度刷刷地快的老机子,怎么卡卡地?赶紧扔掉工具,ctrl、alt、del调出任务管理器看,不对,内存占有咋这高哩?cpu也像我们的GDP一样居高不下。我把里面几个进程所用内存全都加起来也不过200M,咋成了800M,出事了。。此时天色已晚,只好关机睡觉。



    今天晌午时分起床开机,我的妈,老半天才看到桌面,但一闪,桌面图标全没了,只剩个鼠标孤零零地空白的桌面上形影相吊。ctrl、alt、del看看咋回事,可键盘使劲按都没反应,这才知道来着不善。系统不好使了,只好reset后用PE启动进去,转移下重要文件,在PE里上网求助,无果。只好ghost恢复。



    系统重装了,也好,落得一身清净,一切都从头再来吧。C盘现在干净清爽滴很,这次装了之后再坚持几年应该没问题。装好后,运行了PPS网络电视,这个软件被恢复在D盘,这下又出事了!情况如前所述,又卡机了,这时上网下载360,想亡羊补牢,但为时已晚,因为运行它时,它自己都中招了。重启,我的天,又是进不了桌面,不到10分钟,我又要重装,我的硬盘啊。无奈,ghost恢复,装完后,啥都不干,啥也不看,立刻装360,糟了!因为之前下的360放在D盘,已经是个不干净的360。无奈,不到1分钟,我又要重装系统。这次装完后,立刻上网下载360放在干净的C盘里,装上它,通过它打满系统补丁,修复所有漏洞(都是360指出的)。然后用它的木马查杀(杀之前更新了最新木马库,几十M)查杀,好多个usp10.dll,统统干掉(提醒下手工杀毒爱好者,在system32里以及它里面文件夹里有两个usp10.dll是不能杀的,就它两是好人)。



    该病毒真有立竿见影的效果,病来如山倒,病去如抽丝。   



下面再贴一个高手分析这个病毒的原理文章:

    很多应用程序加载时,会加载usp10.dll,因为它本身需要这个DLL里的函数(可能)。



    system32目录里的usp10.dll, 是系统自身的DLL,病毒就是劫持了这个DLL。写一个同名的DLL文件放在exe程序的同一目录下,当系统装载这个程序时,而这个程序又需要用到这个DLL时,系统就会先在本目录下查找这个DLL,并加载之。



    前面我说过,我自己写一个usp10.dll,不能被加载,而那个病毒却可以被加载,这个问题令我费解了很久,现在终于有眉目:这个DLL,要与被劫持的DLL拥有相同的函数导出表!否则,系统不予加载,可能是这样。(相当于欺骗系统:我就是您老人家要找的那个DLL,您老人家不用回windows\system32下面翻箱倒柜找了,我近在眼前,就在该exe所在目录下)。



    当然有了这个病毒,程序还是能运行,只是慢的多,那也就是说应用程序调用的函数功能是正常的,那么,在病毒DLL里是如何办到的呢?它只需把函数的调用最终转向正常的系统DLL里的函数调用即可。



    只是简单的古老的DLL劫持,我开始竟然想不明白,唉,终于释怀……。

本贴被 zcllom 编辑过,最后修改时间:2009-01-30,18:55:08.

LiAsO2 发表于 2009-1-30 23:38:40

ie不到万不得已不要用

517456 发表于 2009-1-30 23:15:30

不用杀毒软件就不要用IE(世上最垃圾的浏览器)

luweixuancl 发表于 2009-1-30 22:58:31

不用瑞*星好多年啊!

jswk 发表于 2009-1-30 22:09:30

瑞*星,我怎么感觉它才是最大的病毒哩。。。。

haeha 发表于 2009-1-30 21:36:17

很多病毒会在每个盘符下建立autorun.inf,比如e:\autorun.inf,d:\autorun.inf。所以重装玩系统后第一步就是通过资源管理器删除这些隐藏文件,否则一点击盘符,又会重复中毒

小红帽误报太多了

zcllom 发表于 2009-1-30 21:27:00

    再来汇报一下情况,系统现在总算恢复平静了,360+德国小红帽(Avira AntiVir)。



    但是貌似:送走了老虎,迎来了豺狼,就是发现我什么都不干的时候(没事做的时候,我喜欢把所有的窗口都关了,喝茶看系统休息),系统cpu占有2%(也就是在休闲),系统内存也只用了一半不到,没必要去访问硬盘里的虚拟内存,也就是说硬盘灯不用闪了。



    可是现在:每过10秒钟左右,硬盘红灯就要闪一下,并且搭拉搭拉响两下。说明有某个东西不甘寂寞、无心睡眠,跑到硬盘里去干什么见不得人的勾当。现在就那么几个东西在进程里了。不知道为什么,我直觉这个东西不是小红帽,难道是360?把360退出,嘿!还真是它,还真把它给逮着了,没有它,系统彻底安静了,硬盘红灯不闪了,也没有搭拉搭拉声了。(360是个好工具,可是没事的时候,老读硬盘干吗,我的硬盘用了7年了,不想多折腾啊!360到底在做什么?在偷偷进行升级吗?)

本贴被 zcllom 编辑过,最后修改时间:2009-01-30,21:27:33.

LiAsO2 发表于 2009-1-30 21:17:59

除了360 啥也没装

mcu5i51 发表于 2009-1-30 21:09:05

偶在初一晚上遇到相同问题,网上没有相似的解决方法,瑞星查不到,另外还有若干个7位数字的exe文件在%tmp%目录运行,第二天用咔吧可以查出,查了好久才算解决,这时瑞星的最新版依然是廿八的时间,估计还没有过完年。真会见缝插针,咔吧是30天使用版,不知道要不要装瑞星回去

glj77 发表于 2009-1-30 20:42:05

算你狠,一直都是裸奔上网

jswk 发表于 2009-1-30 20:39:44

所有系统的.dll/.exe完全被感染。。。。。。所以说杀毒软件一定是要安装的,必然那里的网站都会不像ourdev一样的。。。

我装的杀软:360+绿鹰+ZoneAlarm+蜘蛛。。。防不胜防哩。。。

jswk 发表于 2009-1-30 20:35:32

是不是传说中的机器狗哩???如果是系统还原也无效。。。。。。
页: [1]
查看完整版本: 中病毒了,凡是有exe的文件夹里都生成了假冒的usp10.dll,总共查出了上千个,用360杀了,不