解决"系统时间被改1966年的**door0.dll病毒群困扰"

     昨天上网的时候,卡巴突然失效了,我以为卡巴公司又下大力气封杀破解key文件(我用的是“可用到2010年的卡巴斯基key”),后来才发现,原来是自己的系统时间被改成了1966年,于是我将系统时间改回,卡巴马上发现了几个**door0.dll病毒并给于删除,没想到删到一半卡巴又失效了,这回可不是需要激活,而是直接提示“文件被损坏”,然后就是重启。。。。。。。

     遇到了个厉害“家伙”~~

     后来,终于在“清新阳光”的blog上找到了解决方法,下面引用他的全文:

引用内容 引用内容


邪恶的ghost.pif又出新变种(兼答**door0.dll木马群的查杀)

病毒分析
ghost.pif之前有分析过,现在又发现出现了新变种。具体分析如下:
File: Ghost.pif
Size: 22575 bytes
MD5: 550AD3A14D272B9D4BA7A019F714BFF5
SHA1: 69AC64704EA1FAF21F31B97473B3F57CCFCCA88F
CRC32: B61F22F8

运行后生成如下文件:
%ProgramFiles%Common Filesgoskdl.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.bak(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.ebk(随机6位字母文件名)

注册表操作:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks下面添加
<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><%ProgramFiles%Internet Explorer
ksldk.dll>        [Microsoft Corporation]
达到开机启动目的
HKLMSOFTWAREClassesCLSID下面添加
{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} 指向%ProgramFiles%Common Filesgoskdl.dll通过IE浏览器钩子加载

查询以下注册表项目的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名”MFC42.DLL”命名的文件夹
SOFTWARE\rising\Rav
SOFTWARE\Kingsoft\AntiVirus
SOFTWARE\JiangMin
SOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\SetupFolders
SOFTWARENetwork AssociatesTVDShared ComponentsFramework
SOFTWAREEsetNodCurrentVersionInfo
SOFTWARE\Symantec\SharedUsage
SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exe
并在MFC42.DLL文件夹下生成歧义文件夹I1!O!0..导致windows下无法删除该文件夹

检测新移动硬件插入 如果插入了新硬件 那么在其根目录下生成ghost.pif和autorun.inf

控制explorer连接网络下载木马
读取hxxp://www.xxxxx.org/Data/oK.txt的下载列表
下载hxxp://ora.xxxxx.com/Sex/1.exe
hxxp://ora.xxxxx.com/Sex/2.exe
hxxp://ora.xxxxx.com/Sex/3.exe
hxxp://ora.xxxxx.com/Sex/4.exe
hxxp://ora.xxxxx.com/Sex/5.exe
hxxp://orb.xxxxx.com/Sex/6.exe
hxxp://orb.xxxxx.com/Sex/7.exe
hxxp://orb.xxxxx.com/Sex/8.exe
hxxp://orb.xxxxx.com/Sex/9.exe
hxxp://orb.xxxxx.com/Sex/10.exe
hxxp://orb.xxxxx.com/Sex/11.exe
hxxp://orb.xxxxx.com/Sex/12.exe
hxxp://orb.xxxxx.com/Sex/13.exe
hxxp://orb.xxxxx.com/Sex/14.exe
hxxp://orb.xxxxx.com/Sex/15.exe
hxxp://orb.xxxxx.com/Sex/16.exe
hxxp://ora.xxxxx.com/Sex/M1.exe
hxxp://ora.xxxxx.com/Sex/oKoK.exe
到%Temp%文件夹

木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe启动的进程

sreng日志体现如下
注册表
启动项目
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
          <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:Program FilesInternet Explorer
ksldk.dll>        [Microsoft Corporation]
          <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:WINDOWSsystem32wldoor0.dll>        []
          <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:WINDOWSsystem32wmdoor0.dll>        []
          <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:WINDOWSsystem32qjdoor0.dll>        []
          <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:WINDOWSsystem32dadoor0.dll>        []
          <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:WINDOWSsystem32mydoor0.dll>        []
          <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:WINDOWSsystem32qhdoor0.dll>        []
          <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:WINDOWSsystem32zxdoor0.dll>        []
          <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:WINDOWSsystem32 ldoor0.dll>        []
          <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:WINDOWSsystem32wddoor0.dll>        []
          <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:WINDOWSsystem32
xdoor0.dll>        []
          <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:WINDOWSsystem32fydoor0.dll>        []
          <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:WINDOWSsystem32wgdoor0.dll>        []
          <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:WINDOWSsystem32ztdoor0.dll>        []
          <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:WINDOWSsystem32jtdoor0.dll>        []
          <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:WINDOWSsystem32wodoor0.dll>        []
          <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:WINDOWSsystem32mhdoor0.dll>        []
浏览器加载项
[]
        {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:Program FilesCommon Filesgoskdl.dll, Microsoft Corporation>
正在运行的进程
[PID: 1748 / Administrator][C:WINDOWSExplorer.EXE]        [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
          [C:WINDOWSsystem32wldoor0.dll]        [N/A, ]
          [C:Program FilesInternet Explorer
ksldk.dll]        [Microsoft Corporation, 1. 0. 0. 1]
          [C:WINDOWSsystem32wmdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32qjdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32dadoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32mydoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32qhdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32zxdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32 ldoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32wddoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32
xdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32fydoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32wgdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32ztdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32jtdoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32wodoor0.dll]        [N/A, ]
          [C:WINDOWSsystem32mhdoor0.dll]        [N/A, ]
          [C:Program FilesCommon Filesgoskdl.dll]        [Microsoft Corporation, 1. 0. 0. 1]

解决办法:

一、清除ghost.pif产生的病毒文件

重启计算机 进入
安全模式下(开机后不断 按F8键        然后出来一个高级菜单 选择第一项 安全模式 进入系统)
双击我的电脑,工具,文件夹选项,查看,单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件(推荐)”前面的钩。在提示确定更改时,单击“是” 然后确定

打开任务管理器-进程-结束explorer进程 此时桌面消失

点击 任务管理器菜单栏 文件-新建任务-浏览 在弹出的浏览窗口里找到
%ProgramFiles%Common Filesgoskdl.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.bak(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.dll(随机6位字母文件名)
%ProgramFiles%Internet Explorer
ksldk.ebk(随机6位字母文件名)
右键删除他们

二、清除ghost.pif下载的木马*door0.dll

注意此步必须在安全模式下 且不要打开任何其他程序,因为病毒会插入由explorer.exe启动的任何程序
还是打开任务管理器       结束explorer进程 然后
点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定
打开了命令行窗口
在命令行窗口中进入%system32%文件夹
然后 输入 del *door0.dll /f /q
点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定

三、清理注册表
打开sreng
启动项目        注册表 删除如下项目
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
          <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:Program FilesInternet Explorer
ksldk.dll>        [Microsoft Corporation](随机6位字母文件名)
          <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:WINDOWSsystem32wldoor0.dll>        []
          <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:WINDOWSsystem32wmdoor0.dll>        []
          <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:WINDOWSsystem32qjdoor0.dll>        []
          <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:WINDOWSsystem32dadoor0.dll>        []
          <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:WINDOWSsystem32mydoor0.dll>        []
          <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:WINDOWSsystem32qhdoor0.dll>        []
          <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:WINDOWSsystem32zxdoor0.dll>        []
          <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:WINDOWSsystem32 ldoor0.dll>        []
          <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:WINDOWSsystem32wddoor0.dll>        []
          <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:WINDOWSsystem32
xdoor0.dll>        []
          <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:WINDOWSsystem32fydoor0.dll>        []
          <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:WINDOWSsystem32wgdoor0.dll>        []
          <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:WINDOWSsystem32ztdoor0.dll>        []
          <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:WINDOWSsystem32jtdoor0.dll>        []
          <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:WINDOWSsystem32wodoor0.dll>        []
          <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:WINDOWSsystem32mhdoor0.dll>        [](等所有*door0.dll的项目)

系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”
[]
        {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:Program FilesCommon Filesgoskdl.dll, Microsoft Corporation> (随机6位字母文件名)

四、删除瑞星 江民 卡巴 360文件夹下的MFC42.DLL

方法:

新建一个记事本文件
输入如下字符

DEL /F /A /Q \?\%1
RD /S /Q \?\%1

保存为1.bat文件
将要删除的MFC42.DLL文件或者文件夹,用鼠标左键拖放到1.bat的文件图标上(就像把文件拖到文件夹里的操作一样),一个CMD窗口闪烁之后伪”MFC42.DLL”文件夹就被删除了

近来出现的打开IE或者我的电脑杀毒软件监控就关闭和按照原来的方法无法解决杀毒软件应用程序正常初始化(0xc00000ba)失败的现象也是由于此病毒引起,所以可按此法一并解决



    注释:

1、上面提到的“sreng”全称为“System Repair Engineer”,是一个系统诊断工具,下载链接,当然你也可以运行regedit来编辑注册表。

2、病毒修改系统时间,一般都是通过管理员帐号的空口令的漏洞进入,为防止系统时间再次被修改,可以运行 gpedit.msc——计算机配置——Windows设置——安全设置——本地策略——用户权利指派——更改系统时间,将里面的用户清空即可。

Categories: 其他杂记

Leave a Comment