症状:
这是一个盗号木马风险程序。该程序会尝试关闭杀毒软件avp.exe,盗取用户魔兽世界的帐号信息。
1.程序运行后,修改文件 %windows%win.ini 添加新节 [mhfp] mhfp=msosmhfp00.dll 便于用mhfp代替病毒文件,免得用户怀疑
2.创建批处理程序,将自己的源文件删除,避免被用户发现
3.在注册表中添加了注册项,注册为服务,设为自启动,如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 项名:AppInit_DLLs "" 值:hex(2):6d,73,6f,73,6d,68,66,70,30,30,2e,64,6c,6c,00即msosmhfp00.dll
4.将生成的文件msosmhfp00.dll用mhfp名注入系统进程services.exe中,搜索魔兽世界的进程,枚举窗口名,查找是否有名字
为msos的游戏窗口。一旦发现目标,病毒就会通过内存读写的方式窃取玩家的帐号信息,并将其发送到木马作者指定的多个
远程服务器。
今日公司一电脑出现异常,情况大概如下: 所有杀毒软件无法打开,瑞星服务中心显示,客户端关闭, 360安全卫士不能启动,也不能修复, 打开任何文件, 提示 C:\WINDOWS\system32\msosmhfp00.dll msosjtio00.dll msoscqit00.dll msosmnsf00.dll msosdrop00.dll msosdohs00.dll
文件出错
修复工作,修复瑞星客户端,还是不能启动,360也不能成功修复,
提示 C:\WINDOWS\system32\msosmhfp00.dll 出错对话窗口不断自动打开,
一时没有好的解决办法就开始着手从提示的文件入手.
解决办法如下 :
先进入C:\WINDOWS\system32 按时间来排列下文件,查看今天生成的DLL文件,竟然就只有这6个文件, msosmhfp00.dll msosjtio00.dll msoscqit00.dll msosmnsf00.dll msosdrop00.dll msosdohs00.dll
而且弹出窗口所提示的文件出错就是这几个,看似要强行删除它,
打开已经改了名字的,冰刃,进入路径C:\WINDOWS\system32 找下这6个文件,强行删除了, 再清理了下用户目录下的Temp文件夹, 再次重启
情况好转,至少不会再出现对话窗口, 马上连上网络,上360网站下载 360顽固木马专杀大全 马上进行清理,效果 如图:
再次修复,文件夹等其它选项后,重启
问题解决了,瑞星修复完,可以启动,360也正常打开了
再次运行360清理剩下的流氓软件,竟然有13个流氓软件
为安全起见,先用冰刃把病毒文件删除了,再用360来清理
清理完后,PC终于正常了
|