手工处理办法步骤一、开机按F8进入安全模式,然后调出系统的任务管理器,结束ctfmon.exe进程;步骤二、使用u盘到其他正常主机系统下拷贝c:\windows\system32\ctfmon.exe、c:\windows\system32\drivers\beep.sys,然后插入中毒主机的安全模式系统下,把文件同时拷贝到c:\windows\system32\和c:\windows\system32\dllcache\目录下替换原文件;步骤三、开始运行输入regedit打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\找到Hidden项修改值为1,SuperHidden项修改值为0,ShowSuperHidden项修改值为1;步骤四、打开资源管理器,对硬盘进行全盘搜索usp10.dll(文件类型所有文件和文件夹),把搜索结果中除系统盘符目录的其他盘符目录下所有usp10.dll进行手工删除处理;步骤五、重复步骤四搜索oiiuasdfh.dll文件进行手工删除处理;步骤六、清空系统和IE临时文件目录下所有文件,并清空c:\windows\system32\drivers\etc\host文件内容。
1、 不要在不明站点下载非官方版本的软件进行安装,避免病毒通过文件捆绑的方式进入您的系统。
2、 尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况需要注意的是及时与专业的安全软件厂商联系获取技术支持。
3、 开启windows自动更新,及时打好各种漏洞补丁。已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御软件将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御软件都能够有效清除该病毒。更多“输入法杀手”病毒的详细分析请参考:病毒分析立即开始~~~~~该样本程序被执行后,将建立名为“puuyt”的互斥体,遍历以下进程:kavstart.exekissvc.exekmailmon.exekpfw32.exekpfwsvc.exekwatch.execcenter.exeras.exerstray.exersagent.exeravtask.exeravstub.exeravmon.exeravmond.exeavp.exe360safebox.exe360Safe.exeThunder5.exerfwmain.exerfwstub.exerfwsrv.exe若发现以上进程,将释放动态库文件“oiiuasdfh.dll”至系统目录%SystemRoot%目录下,并调用系统“rundll32.exe”使用参数“EnumPageFile”加载“oiiuasdfh.dll”,加载成功后,提升权限至“SeDebugPrivilege”,修改系统文件“beep.sys”,恢复SSDT,使部分安全软件的主动防御功能失效,尝试调用下列命令进行关闭“avp.exe”进程:taskkill/f/t/imavp.exe利用函数“TerminateProcess”尝试关闭找到的进程,在注册表“HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\”下添加发现的进程与“Thunder5.exe”,进行映像劫持,键值均为:debugger,数据均指向:svchost.exe。若发现“safeboxtray.exe”获取360保险箱路径,复制“oiiuasdfh.dll”至360保险箱目录下,重命名为“rptup.dll”与“USP10.dll”,以参数“/u”打开“safeboxTray.exe”进程,配合模拟点击,使360保险箱自我保护失效,实现保险箱卸载。若发现“360tray.exe”则修改注册表,关闭360安全卫士的监控,相关注册表如下。项:HKLM\Software\360Safe\safemon键:ExecAccess指向数据:0键:MonAccess指向数据:0键:LeakShowed指向数据:0键:SiteAccess指向数据:0键:UDiskAccess指向数据:0键:weeken指向数据:0键:ARPAccess指向数据:0键:IEProtAccess指向数据:0病毒还将尝试调用其卸载程序“uninst.exe”将360安全卫士卸载。修改注册表修改系统设置,使系统不显示隐藏文件:键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\值:Hidden数据:2值:SuperHidden数据:1值:ShowSuperHidden数据:0释放动态库文件“1”至系统目录“SystemDrive\Tasks”,遍历除系统盘符外包括可移动磁盘的全部磁盘内的“.exe”文件,在“*.exe”文件所在目录内复制“1”为“USP10.dll”。利用“Windows”机制使用户执行程序同时加载“USP10.dll”,“USP10.dll”将访问网络地址:“http://www.h***-2.cn/down/gr.exe”下载病毒。利用函数“TerminateProcess”,关闭“cmd.exe”,下载病毒文件列表“http://txt.h***e.com/oo.txt”,存储至系统目录“%SystemRoot%\system32\sadfasdf.jpg”,“sadfasdf.jpg”内容如下:[file]open=yurl1=http://www.w**we.com/new/new1.exeurl2=http://www.w**we.com/new/new2.exeurl3=http://www.w**we.com/new/new3.exeurl4=http://www.w**we.com/new/new4.exeurl5=http://www.w**we.com/new/new5.exeurl6=http://www.w**we.com/new/new6.exeurl7=http://www.w**we.com/new/new7.exeurl8=http://www.w**we.com/new/new8.exeurl9=http://www.w**we.com/new/new9.exeurl10=http://www.w**we.com/new/new10.exeurl11=http://www.w**we.com/new/new11.exeurl12=http://www.w**we.com/new/new12.exeurl13=http://www.w**we.com/new/new13.exeurl14=http://www.w**we.com/new/new14.exeurl15=http://www.w**we.com/new/new15.exeurl16=http://www1.w**we.com/new/new16.exeurl17=http://www1.w**we.com/new/new17.exeurl18=http://www1.w**we.com/new/new18.exeurl19=http://www1.w**we.com/new/new19.exeurl20=http://www1.w**we.com/new/new20.exeurl21=http://www1.w**we.com/new/new21.exeurl22=http://www1.w**we.com/new/new22.exeurl23=http://www1.w**we.com/new/new23.exeurl24=http://www1.w**we.com/new/new24.exeurl25=http://www1.w**we.com/new/new25.exeurl26=http://www1.w**we.com/new/new26.exeurl27=http://www1.w**we.com/new/new27.exeurl28=http://www1.w**we.com/new/new28.execount=28通过函数“URLDownloadToFile”下载列表上的病毒文件,释放随机名动态库文件“2f9a09.dll”,利用函数“WinExec”执行下载的病毒文件。创建驱动文件“1696”至“%Temp%”目录,修改注册表,创建服务项,加载“1696”,相关注册表项如下:键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\io值:Type数据:SERVICE_KERNEL_DRIVER值:Start数据:SERVICE_DEMAND_START值:ImagePath数据:%Temp%\1696值:DisplayName数据:io“1696”为病毒制造者编写的磁盘过滤驱动,病毒将修改“ctfmon.exe”将部分代码写入其中,操作完成后将删除文件及服务。访问网络地址下载:“http://txt.h***e.com/ad.jpg”,随后病毒将使用文本文件“ad.jpg”,替换系统Host文件。
