首页
社区
课程
招聘
讨论]最近老是中这个毒
发表于: 2008-6-29 00:17 4719

讨论]最近老是中这个毒

2008-6-29 00:17
4719
不知是什么毒,好像lsass.exe文件感染,还有一个关于mfc40xxx.dll的文件
恢复正常的mfc40xxx.dll文件后重启就会出现

无法定位程序输入点LdrSetSessionName 于动态链接库mfc40u.dll上

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
驱动级感染病毒。...机器狗类型的
2008-6-29 11:14
0
雪    币: 222
活跃值: (15)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
ADSL宽带两台电脑, 哪天同事的中的就是这个,  害得我都不能上网, 然后我就过去杀.
任务管理器呼出不了, 上网查了下,是系统文件被替换了, 安全模式全进不去. 装的是蕃茄花园版本的带有DOS, 进入dos下从c:\windows\system32\dllcache目录拷贝以下文件: lsass.exe, explorer.exe, mfc40u.dll. 然后复制到system32目录下,其中explorer.exe是c:\windows目录下的.
用windows系统清理助手杀吧,最少能杀出4,5十个来. 注意这个是带有下载器的,一定要断网杀干净.
把开机启动项清理干净, 里面很多垃圾启动项.

在system32目录下有好多除扩展名为dll,exe之外的同名文件, 这些都是病毒而且名字起得乱七八糟的
请删除c盘下的autorun.inf文件和这个文件里包含的可执行文件.
c:\windows下也有一些
另外请删除你登录的用户名目录下的临时文件夹, 这个删除了开机会自动添加的, 这里通常有好多的病毒木马. 这个文件夹是隐藏的以我的为例,用户名为IBM
在开始菜单的运行里直接输入cmd就进入到用户目录下了, 然后cd "local settings", 现在的目录是C:\Documents and Settings\IBM\Local Settings

运行rd /s /q temp直接删除temp目录
2008-6-29 23:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
系统程序“lsass.exe”弹出错误“无法定位程序输入点 LdrsetSessionName 于动态链接库 mfc40u.dll 上。”这个提示是由于系统被病毒破坏而产生的。是系统程序“lsass.exe”进程启动时弹出来的错误提示信息,真正的系统程序“lsass.exe”进程中是不会有这种提示信息的。之所以会弹出该提示,是因为病毒修改了系统“lsass.exe”程序的输入表(在输入表的尾部多加了一条调用信息“LdrsetSessionName”、“mfc40u.dll”),同时病毒又使用自身释放出来的恶意DLL组件覆盖了系统本身的DLL组件“mfc40u.dll”(系统内原本就有这个DLL组件的)。当杀毒软件或安全软件发现了被病毒程序破坏的系统DLL组件“mfc40u.dll”(系统原DLL组件的功能是MFC的部分函数库,被病毒覆盖后的DLL组件的功能是木马下载器)后,就给强行删除掉了,但没有去修复系统程序“lsass.exe”文件的输入表,也没有还原被病毒破坏的系统DLL组件“mfc40u.dll”文件,所以出现了上边的错误提示信息。
病毒是利用磁盘过滤驱动去读写真实磁盘中的数据,然后去破坏系统“lsass.exe”和“mfc40u.dll”文件的。所以,不管系统“lsass.exe”和“mfc40u.dll”程序有没有在运行,都会被病毒破坏掉。该病毒使用了类似于“古老的机器狗病毒穿系统还原的设计原理”,并没有去破坏您系统的注册表中的数据信息。所以在网络上见很多人提出使用“重新注册系统‘mfc40u.dll’DLL组件的方法是不对的”,可能会对系统造成更大的破坏。要对症下药,不然很可能会越医越病!!
------------------------------------------------------------------------

------------------------------------------------------------------------
信息:
“C:\” = “这里的C盘为系统盘”
“lsass.exe” = “C:\WINDOWS\system32\lsass.exe”
“mfc40u.dll” = “C:\WINDOWS\system32\mfc40u.dll”
上述二个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。
------------------------------------------------------------------------

------------------------------------------------------------------------
修复方法步骤(经过实际测试绝对有效):
-------------------------------------
一、系统可以启动登陆的修复方法:(转载请注明出自Coderui的博客,谢谢)
1:把系统程序“lsass.exe”文件和系统DLL组件程序“mfc40u.dll”文件同时改名,Windows系统是支持运行着的程序改名的。(如果您能终止掉系统程序“lsass.exe”和DLL组件“mfc40u.dll”的运行也可以)。
2:复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。
3:复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。
4:按照上边的1-3步骤操作完毕后,重新启动一次计算机,一切修复完毕。
5:系统修复完毕后,要使用杀毒软件去查杀病毒。因为该病毒为木马下载器,它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。
-------------------------------------

-------------------------------------
二、系统无法启动登陆的修复方法:(转载请注明出自Coderui的博客,谢谢)
1:使用PE盘或DOS盘启动系统(这种情况下,安全模式是无法登陆的)。
2:复制一个正常的系统程序“lsass.exe”文件保存为“C:\WINDOWS\system32\lsass.exe”文件。
3:复制一个正常的系统DLL组件程序“mfc40u.dll”文件保存为“C:\WINDOWS\system32\mfc40u.dll”文件。
4:按照上边的1-3步骤操作完毕后,重新启动一次计算机,一切修复完毕。
5:系统修复完毕后,要使用杀毒软件去查杀病毒。因为该病毒为木马下载器,它可能已经在您的计算机系统中安装了其它恶意程序(20款以上)。
-------------------------------------

-------------------------------------
注意:
上述三个文件一般都可以在系统“C:\WINDOWS\system32\dllcache”目录下找到正常完好的系统备份文件。如果实在没有找到的话,可以去同一个版本的其它计算机系统中拷贝。
最好是断开网络修复系统,因为该病毒为木马下载器,它会连接网络向您的计算机中安装20多款其它恶意程序(如网络游戏盗号木马等)。
因为该病毒并没有去破坏或修改您系统中的注册表,请您不要去重新注册系统DLL组件“mfc40u.dll”,不然可能会带去不必要的麻烦。
2008-6-30 08:45
0
游客
登录 | 注册 方可回帖
返回
//