百度首页 | 百度空间
 
查看文章
  
ttezzezz1046.dll,ttnnbnnb1049.dll,msosmnsf00.dll,msosdohs01.dll,msosmhfp01.dll,cmdbcs.exe等的清除
2008年04月21日 星期一 09:33

枯木逢春--SREng/分析助手/通用病毒杀灭机套件修复机器案例一则

同事SYS一早说到,他的机子已经崩溃,开机无桌面,安全模式进不去。让他拿来看看,果然如此。启动到输入密码后,硬盘灯狂闪,但是进不了桌面。按CTRL+ALT+DEL 任务管理器还能调出来,运行中输入cmd可以运行;运行explorer依然无反应。恐怕要一键恢复系统了。

不过我还想做一个最后的尝试

先考虑是explorer.exe损坏或被删除,用U盘考一个好的,cmd进入命令窗口,找到U盘的盘符,例如是f: 将好的explorer.exe拷贝

到问题机器的c:\windows 。命令如下
f:
cd f:\
copy explorer.exe c:\windows

重启问题依旧。中毒较深,祭出 teyqiu_AntVir_Tools.zip
(SREng/分析助手/通用病毒杀灭机/Xdelbox/PowerRMV 套装 :P   )。
下载 >> http://hi.baidu.com/teyqiu/blog/item/de3f5343947c82159313c6fe.html

随便CP到一个硬盘根目录下,并运行。

f:
copy teyqiu_AntVir_Tools.zip d:\
d:
cd \
teyqiu_AntiVir_Tools.zip

还好还好,winRAR正常运行啦 有了winrar就等于有了文件管理器 剩下了就是蹂躏病毒了。
sreng 扫描得到log, 用分析助手分析后,导出一个修复指令文件 sys_fix.dat 最后用通用病毒杀灭机重启删除
(用法?>> http://hi.baidu.com/teyqiu/blog/item/3804738da93d7a16b31bba32.html

重启后,枯木逢春,一切OK了,避免了一键恢复以及重装应用软件及系统打补丁、杀软升级等,节约了至少2个小时的时间。
剩下的就是善后了。

分析:<AppInit_DLLs>的严重劫持估计是桌面出不来的主要原因,另外explorer.exe文件本身的损坏也有可能。

bye

=======================附 如果是手动,应该这么做 你用通用病毒杀灭机,是自动完成的。

采用xdelbox删除的文件如下:
c:\windows\system32\ttezzezz1046.dll
c:\windows\system32\ttnnbnnb1049.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosmhfp01.dll
c:\windows\system32\drivers\6uzi22841.sys
c:\windows\system32\drivers\7up0c.sys
c:\docume~1\user\locals~1\temp\tmp3.tmp
c:\windows\system32\drivers\adprot.sys
C:\WINDOWS\cmdbcs.exe

启动项目-->注册表项目的如下项目删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1ce220d3-84bb-446c-8a39-6ed491c8a601}><C:\WINDOWS\system32\ttNNBNNB1049.dll> []
    <{05922c2d-da84-48e8-a3e4-e797c58c39cf}><C:\WINDOWS\system32\ttEZZEZZ1046.dll> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]


启动项目-->驱动程序的如下项目删除
[6uzi22841 / 6uzi22841][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\6uzi22841.sys><N/A>
[7up0 / 7up0c][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\7up0c.sys><N/A>
[ADProt / ADProt][Stopped/System Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[dohs / dohs][Stopped/Auto Start]
<\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp3.tmp><N/A>

启动项目-->注册表项目的如下项目 编辑为空 <>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><,msosmnsf00.dll,msosdohs01.dll,msosmhfp01.dll> [N/A]


类别:『反病毒笔记』 | 添加到搜藏 | 浏览() | 评论 (12)
 
最近读者:
 
网友评论:
1
2008年04月21日 星期一 09:36
学习了,呵呵。抢了一个沙发,哈。
 
2
2008年04月21日 星期一 10:04
高手呀!真正的高手!
 
3
2008年04月21日 星期一 13:34
~~么么,这样也可以··
受教了·
 
4
2008年04月21日 星期一 21:58
这种病毒这两天太厉害了,学习了
 
5
2008年04月21日 星期一 21:59
好工具只有在高手那才能发挥其最大的威力 哈哈

节约了至少2个小时的时间,可喜可贺。
 
6
2008年04月22日 星期二 12:55
楼上的莫非就是传说中的高手。。。。
 
7
2008年04月23日 星期三 17:18
转载
http://www.antidu.cn/html/1/2008/4/trojan_2008423171801.html
 
8
2008年04月23日 星期三 17:21
楼上的别掐投去尾的转载好么?
 
9
2008年04月24日 星期四 16:05
正告 7楼的转载者,请不要修改我的帖子内容 OK????
 
10
2008年05月05日 星期一 09:26
这个病毒这段时间很常见,没注意到explorer损坏,
谢谢分享
 
11
2008年05月30日 星期五 19:32
c:\windows\system32\msosmhfp01.dll
可以删除吗??
 
12
2008年05月31日 星期六 16:56
楼上的应该删除
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码:
 

     

©2008 Baidu