IT外包 觀瀾電腦維修


 企業郵局 收藏本站
首頁 公司簡介 資訊中心 產品介紹 招聘信息 聯系我們 客戶留言 下載中心
企業信息
 
 
 新聞中心
實例MSOS系列病毒清除

 

癥狀:

這是一個盜號木馬風險程序。該程序會嘗試關閉殺毒軟件avp.exe,盜取用戶魔獸世界的帳號信息。

1.程序運行后,修改文件
%windows%win.ini
添加新節
[mhfp]
mhfp=msosmhfp00.dll
便于用mhfp代替病毒文件,免得用戶懷疑

2.創建批處理程序,將自己的源文件刪除,避免被用戶發現

3.在注冊表中添加了注冊項,注冊為服務,設為自啟動,如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
項名:AppInit_DLLs "" 值:hex(2):6d,73,6f,73,6d,68,66,70,30,30,2e,64,6c,6c,00即msosmhfp00.dll

4.將生成的文件msosmhfp00.dll用mhfp名注入系統進程services.exe中,搜索魔獸世界的進程,枚舉窗口名,查找是否有名字

為msos的游戲窗口。一旦發現目標,病毒就會通過內存讀寫的方式竊取玩家的帳號信息,并將其發送到木馬作者指定的多個

遠程服務器。


今日公司一電腦出現異常,情況大概如下:
所有殺毒軟件無法打開,瑞星服務中心顯示,客戶端關閉,
360安全衛士不能啟動,也不能修復,
打開任何文件,
提示 C:\WINDOWS\system32\msosmhfp00.dll 
msosjtio00.dll
msoscqit00.dll
msosmnsf00.dll
msosdrop00.dll
msosdohs00.dll


文件出錯

修復工作,修復瑞星客戶端,還是不能啟動,360也不能成功修復,

提示 C:\WINDOWS\system32\msosmhfp00.dll  出錯對話窗口不斷自動打開,

一時沒有好的解決辦法就開始著手從提示的文件入手.

解決辦法如下 :

先進入C:\WINDOWS\system32
按時間來排列下文件,查看今天生成的DLL文件,竟然就只有這6個文件,
msosmhfp00.dll 
msosjtio00.dll
msoscqit00.dll
msosmnsf00.dll
msosdrop00.dll
msosdohs00.dll

而且彈出窗口所提示的文件出錯就是這幾個,看似要強行刪除它,

打開已經改了名字的,冰刃,進入路徑C:\WINDOWS\system32 找下這6個文件,強行刪除了,
再清理了下用戶目錄下的Temp文件夾,
再次重啟

情況好轉,至少不會再出現對話窗口,
馬上連上網絡,上360網站下載  360頑固木馬專殺大全 
馬上進行清理,效果
如圖:


再次修復,文件夾等其它選項后,重啟

問題解決了,瑞星修復完,可以啟動,360也正常打開了

再次運行360清理剩下的流氓軟件,竟然有13個流氓軟件

為安全起見,先用冰刃把病毒文件刪除了,再用360來清理

清理完后,PC終于正常了

 
公司簡介 | 資訊中心 | 營銷業務 | 聯系我們 | 客戶留言 | 人才招聘 | 下載中心
Copyright©2007-2008 深圳(觀瀾)騰飛電腦有限公司
業務QQ:190785994 有事找我請點這里!聯系電話:13751057178
E-mail:[email protected] 粵ICP備08008234號
公司地址:深圳市觀瀾鎮君子布村

觀瀾電腦維修 IT外包

(www.kkibyz.tw)版權所有
26选5开奖规则