MSRS.EXE,U盘传播的下载者。
此病毒windows清理助手已经完全可以清除,这个病毒变种繁多,我的这个分析只是其中的一种,可能与你的情况有差别,如果清理后还有问题,欢迎给我的邮箱发你的病毒样本!
一个新样本
纳米下载地址
行为:
1,修改系统时间为三年前,干掉咔吧的监控,结束咔吧。
2,映像劫持常用杀毒软件和注册表,如360等
3,替换掉系统更新程序
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
4,访问ddd.xnibi.com下载病毒
5,添加启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
explorer c:\windows\system32\wuauclt.exe
3个驱动
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
6,C:\windows\system32\auth.dll注入svchost.exe,干掉咔吧
7,利用cacls.exe修改修改文件访问控制权限
cacls.exe c:\windows\system32\packet.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\npf.sys /e /p everyone:f
cacls.exe c:\windows\system32\npptools.dll /e /p everyone:f
cacls.exe c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
cacls.exe c:\windows\system32\wanpacket.dll /e /p everyone:f
cacls.exe c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f
解决办法:
1,打开icesword,设置为禁止线进程创建。
2,进程:
结束o.exe,MSRS.EXE
打开svchost.exe,强制卸载c:\windows\system32\auth.dll
打开winlogon.exe,强制卸载C:\WINDOWS\TEMP\~MY73.TMP
3,文件:
强制删除
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
把禁止线进程创建取消。
4,用FileForceKiller清空所有temp目录和
c:\windows\system32\wnlnet.dll
c:\windows\system32\auth.dll
c:\windows\system32\wnnlnet.dll
c:\windows\system32\ehhrma.dll
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\TEMP\~MY73.TMP
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL
C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG
C:\WINDOWS\TEMP\MIRCRGFX.DAT
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
删除各个分区根目录下面的autorun.inf,MSRS.EXE
5,打开autoruns。
删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值
和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
6,复制正常的wuauclt.exe文件覆盖
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe
7,用sreng和windows清理助手扫描修复系统
一个windows清理助手脚本:
点击下载此文件
8,病毒样本
纳米下载地址
金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明U盘病毒MSRS.EXE的解决办法!
