求这个Ghost.exe感染病毒的专杀或者手动清除方法

Black_lonely

最近几台电脑都感染了这个，因为一些原因，没法安装杀毒软件，希望能有人帮忙分析，给出这个感染病毒的专杀程序或者手动清除方法，谢谢了。

病毒样本     pan.baidu.com/netdisk/singlepublic?fid=122106_3182110281

ssama

Executing: c:\users\shamrock\desktop\ghost.exe
LoadLibrary(shlwapi.dll)  
GetModuleHandle(lz32.dll)  
LoadLibrary(lz32.dll)  
FreeLibrary(C:\Windows\system32\lz32.dll)  
CreateRemoteThreadEx(c:\users\shamrock\desktop\ghost.exe)  
ResumeThread()  
LoadLibrary(shell32.dll)  
OpenSCManager((null),(null))  
OpenService(BITS)  
CreateFile(C:\Windows\system32\qmgr.dll)  
OpenService(FastUserSwitchingCompatibility)  
OpenService(WmdmPmSN)  
OpenService(xmlprov)  
OpenService(EventSystem)  
OpenService(Ntmssvc)  
OpenService(upnphost)  
OpenService(SSDPSRV)  
OpenService(Netman)  
OpenService(Nla)  
OpenService(Tapisrv)  
LoadLibrary(sfc_os.dll)  
LoadLibrary(srclient.dll)  
LoadLibrary(spp.dll)  
LoadLibrary(vssapi.dll)  
LoadLibrary(atl.dll)  
LoadLibrary(vsstrace.dll)  
LoadLibrary(ole32.dll)  
LoadLibrary(oleaut32.dll)  
FreeLibrary(C:\Windows\system32\sfc_os.dll)  
OpenService(Browser)  
CreateFile(C:\Windows\system32\browser.dll)  
OpenService(Themes)  
OpenService(CryptSvc)  
OpenService(helpsvc)  
OpenService(RemoteRegistry)  
CreateFile(C:\Windows\system32\regsvc.dll)  
OpenService(Schedule)  
OpenService(AppMgmt)  
ControlService(STOP)  
CreateService(AeLookupSvc)  
CreateService(CertPropSvc)  
CreateService(SCPolicySvc)  
CreateService(lanmanserver)  
CreateService(gpsvc)  
CreateService(AudioSrv)  
CreateService(FastUserSwitchingCompatibility)  
CreateFile(C:\Windows\system32\FastUserSwitchingCompatibility.dll)  
CreateService(Ias)  
CreateService(Irmon)  
CreateFile(C:\Windows\system32\Irmon.dll)  
CreateService(Nla)  
CreateFile(C:\Windows\system32\Nla.dll)  
CreateService(Ntmssvc)  
CreateFile(C:\Windows\system32\Ntmssvc.dll)  
CreateService(NWCWorkstation)  
CreateFile(C:\Windows\system32\NWCWorkstation.dll)  
CreateService(Nwsapagent)  
CreateFile(C:\Windows\system32\Nwsapagent.dll)  
CreateService(Rasauto)  
CreateService(Rasman)  
CreateService(Remoteaccess)  
CreateService(SENS)  
CreateService(Sharedaccess)  
CreateService(SRService)  
CreateFile(C:\Windows\system32\SRService.dll)  
CreateService(Tapisrv)  
CreateService(Wmi)  
CreateService(WmdmPmSp)  
CreateFile(C:\Windows\system32\WmdmPmSp.dll)  
CreateService(TermService)  
CreateService(wuauserv)  
CreateService(BITS)  
CreateService(ShellHWDetection)  
CreateService(LogonHours)  
CreateFile(C:\Windows\system32\LogonHours.dll)  
CreateService(PCAudit)  
CreateFile(C:\Windows\system32\PCAudit.dll)  
CreateService(helpsvc)  
CreateFile(C:\Windows\system32\helpsvc.dll)  
CreateService(uploadmgr)  
CreateFile(C:\Windows\system32\uploadmgr.dll)  
CreateService(iphlpsvc)  
CreateService(msiscsi)  
CreateService(schedule)  
CreateService(SessionEnv)  
CreateService(winmgmt)  
CreateService(AppMgmt)  
CreateFile(C:\Users\Shamrock\AppData\Local\Temp\Loopt.bat)  
FreeLibrary(C:\Windows\system32\IMM32.DLL)  

virusdefender

进程监控报告

日志时间=2012-5-1 12:27:24
运行时间=2012-5-1 12:28:54
操作系统=Microsoft Windows XP Professional Service Pack 3 (build 2600)
运行模式=创建新进程
监控目标=C:\Documents and Settings\Administrator\桌面\Ghost.exe

新建进程数=1
结束进程数=0
新建文件数=2
删除文件数=2
修改文件数=1
新建注册表键值数 =0
删除注册表键值数 =0
修改注册表键值数 =14
可疑行为总数 =0




--------------------------------------------------------------------------------


C:\Documents and Settings\Administrator\桌面\Ghost.exe
PID=2812
大小=0
MD5=N/A
undefined文件操作列表 ID  文件路径  文件操作  大小  MD5
     
1 C:\WINDOWS\system32\qmgr.dll 修改文件 N/A N/A
2 C:\Documents and Settings\Administrator\Local Settings\Temp\Loopt.bat 创建文件 N/A N/A


undefined注册表操作列表 ID  注册表键值  操作  值  数据
     
1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Personal C:\Documents and Settings\Administrator\My Documents
2 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97f397ad-28b3-11e1-bcd5-806d6172696f} 设置注册表键值 BaseClass Drive
3 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97f397ab-28b3-11e1-bcd5-806d6172696f} 设置注册表键值 BaseClass Drive
4 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97f397aa-28b3-11e1-bcd5-806d6172696f} 设置注册表键值 BaseClass Drive
5 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Common Documents C:\Documents and Settings\All Users\Documents
6 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Desktop C:\Documents and Settings\Administrator\桌面
7 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Common Desktop C:\Documents and Settings\All Users\桌面
8 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 设置注册表键值 ProxyBypass 1
9 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 设置注册表键值 IntranetName 1
10 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 设置注册表键值 UNCAsIntranet 1
11 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap 设置注册表键值 AutoDetect 1
12 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Cache C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
13 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 设置注册表键值 Cookies C:\Documents and Settings\Administrator\Cookies
14 HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache 设置注册表键值 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Loopt.bat Loopt


undefined内存操作列表 ID  操作  细节
   
1 创建新进程 cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Loopt.bat" "




--------------------------------------------------------------------------------


C:\WINDOWS\system32\cmd.exe
PID=1256
大小=471040
MD5=83BA7E22BF529858A345F483D7E94C16
undefined文件操作列表 ID  文件路径  文件操作  大小  MD5
     
1 C:\WINDOWS\system32\dllcache\lsasvc.dll 创建文件 N/A N/A
2 C:\Documents and Settings\Administrator\桌面\Ghost.exe 删除文件 N/A N/A
3 C:\Documents and Settings\Administrator\Local Settings\Temp\Loopt.bat 删除文件 314 N/A


那个bat
copy /Y "C:\Documents and Settings\Administrator\桌面\Ghost.exe" "C:\WINDOWS\system32\dllcache\lsasvc.dll"
:runagain
del "C:\Documents and Settings\Administrator\桌面\Ghost.exe"
if exist "C:\Documents and Settings\Administrator\桌面\Ghost.exe" goto runagain
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Loopt.bat


你只要能把上面的东西看明白，就能解决问题了。

欢快的浪花

路过看看有无高手解决，顺便学习。

zhou0197

2012-5-1 16:22:03    创建新进程    允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\ghost.exe
命令行: "D:\我的文档\Desktop\Ghost.exe"
规则: [应用程序]*

2012-5-1 16:22:04    修改文件    允许
进程: d:\我的文档\desktop\ghost.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-5-1 16:22:04    创建文件    允许
进程: d:\我的文档\desktop\ghost.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\Loopt.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2012-5-1 16:22:05    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Start
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-5-1 16:22:09    创建新进程    允许
进程: d:\我的文档\desktop\ghost.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Loopt.bat" "
规则: [应用程序]*

2012-5-1 16:22:12    删除注册表项    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2012-5-1 16:22:13    创建文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\dllcache\lsasvc.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2012-5-1 16:22:13    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\TEMP\NtHid.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2012-5-1 16:22:13    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtHid
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-5-1 16:22:14    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: D:\我的文档\Desktop\Ghost.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-5-1 16:22:15    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtHid\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-5-1 16:22:15    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\Loopt.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2012-5-1 16:22:16    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtHid\ImagePath
值: \??\C:\WINDOWS\TEMP\NtHid.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2012-5-1 16:22:17    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\temp\nthid.sys
规则: [应用程序]c:\windows\system32\services.exe

2012-5-1 16:22:17    删除注册表项    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtHid
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-5-1 16:22:25    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1034] ->  [113.107.45.134 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-1 16:23:38    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1055] ->  [127.0.0.1 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-1 16:24:08    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.8.1 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-1 16:24:11    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1063] ->  [192.168.8.1 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-1 16:24:14    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1064] ->  [77.67.126.43 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-1 16:24:36    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.8.2 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


貌似是无极杀手，部分行为可以参考百度百科：http://baike.baidu.com/view/3012758.htm

多引擎扫描证实无极杀手：https://www.virustotal.com/file/ ... nalysis/1335860137/



涉及的行为有：修改系统文件，添加服务，加驱动（据说是对抗杀毒软件的），破坏安全模式，感染htm,html,asp,aspx这些网页文件，感染U盘的可执行文件和网页文件，通过U盘传播以及局域网，可能会下载盗号木马（不过木马连接的网址可能失效了）。



理论上，彻底修复系统，要完全不依靠杀毒软件是不可能的，好像也没有什么专杀。

清理步骤：

1.清除可移动设备，比如U盘里面的可疑病毒文件。

2.强行删除以下文件（可以用ARK工具完成，有些文件可能已经被自我删除了）：

C:\Documents and Settings\Administrator\Local Settings\Temp\Loopt.bat
C:\WINDOWS\system32\dllcache\lsasvc.dll
C:\WINDOWS\TEMP\NtHid.sys

3.清除对应的病毒创建的服务和启动项。


4.用对应系统版本的正常文件替换：
C:\WINDOWS\system32\qmgr.dll


5.修复安全模式（也可以用ARK工具完成，比如xuetr）


6.修复所有被病毒感染的文件（这个不依靠安全软件基本不太可能）。


在可以用一些安全工具（还算不上杀软）的情况下:

联网：直接用金山急救箱应该就能够解决所有的问题了，如果不能正常运行，请先手动干掉那个对抗杀软的驱动程序。

不联网：推荐卡巴的virus removal tool或者microsoft safety scanner全盘扫描，然后可能还要手动替换被感染的系统文件以及修复安全模式。


清理之后，有一点要注意，此为蠕虫病毒，可以通过U盘和局域网传播，如果网内还有其他被感染的电脑，又没有杀软，随时可能复发。如果不装杀软，只能一台一台断网杀毒，全部杀干净才能联网。还有注意U盘病毒的防范，方法参考救援区的防毒教程。

总是被遗忘

看看高手是怎么解决的，顺便学习

ycyzy8761

实在没办法重装一下吧

q282267252

最好能发一份SRENG报告上来和样本一起分析下