方法壹:
微點更新,重新啟動,用微點到安全模式下殺殺看。如果還是不行,試試下面的手工方法。
去下載壹個system Repaire Engineer(SRE) 2.4.12.806:/zsgj/MagistrKiller.exe
病毒說明:
linkinfo.dll病毒-“馬吉斯(Worm.Magistr)”病毒專殺工具
“馬吉斯(Worm.Magistr)”病毒專殺工具
工具名稱:“馬吉斯(Worm.Magistr)”病毒專殺工具
軟件版本:1.0
軟件大小:320KB
應用平臺:Windows平臺
更新時間:2007-06-12
發布時間:2007-06-12
發布公司:北京瑞星科技股份有限公司
免費下載:本地下載 (上面我已放了下載地址)
軟件說明
病毒名稱: Worm.Magistr.g
病毒是由C語言編寫的感染型病毒,感染後綴名為EXE的32位PE可執行程序,病毒源的大小為40KB。
病毒源文件為boot.exe,由用戶從U盤上提取。
病毒源文件流程:
boot.exe運行後檢查自己是否在驅動器根目錄下,如不是退出。
檢查是否存在"C:\WINNT\linkinfo.dll",如果不存在則建立該文件。
檢查驅動文件是否存在,如不存在則生成驅動文件%SystemRoot%\system32\drivers\IsDrv118.sys(加載後刪除),並調用ZwSetSystemInformation加載驅動。
裝載該dll,然後查找病毒調用序號為101的導出函數。
DLL流程:
DLL被裝載時:
1、獲得系統sfc.dll中的SfcIsFileProtected函數地址,以便在感染時調用以防止感染受系統保護的文件。
2、獲取系統的linkinfo.dll(%system32%目錄下)的下列導出函數,使自己導出的同名函數指向正常的linkinfo.dll中正確的函數,以便轉接這些函數。
ResolveLinkInfoW
ResolveLinkInfoA
IsValidLinkInfo
GetLinkInfoData
GetCanonicalPathInfoW
GetCanonicalPathInfoA
DisconnectLinkInfo
DestroyLinkInfo
CreateLinkInfoW
CreateLinkInfoA
CompareLinkInfoVolumes
CompareLinkInfoReferents
3、檢查自己是否在explorer.exe進程中,如不是則啟動病毒主線程。
4、啟動病毒主線程
病毒首先通過VMWare後門指令檢查是否是在VMWare下運行,如果是直接重啟機器,以此來防止自己在虛擬機中被運行。
生成名稱為"PNP#DMUTEX#1#DL5"的互斥量,以保證只有壹個實例在運行。
然後開始啟動各工作線程
5、工作線程1(生成窗口和消息循環)
生成隱藏的窗口和消息循環,並通過調用RegisterDeviceNotificationA註冊設備通知消息,當發現插入可移動磁盤時,向可移動磁盤寫入病毒源boot.exe。
6、工作線程2(遍歷並感染所有磁盤)
從"C:\"開始感染所有磁盤中後綴名為"exe"的文件。
病毒在感染時,不感染"QQ"、"winnt"和"windows"目錄下的程序文件,並通過調用SfcIsFileProtected來檢查是否為系統文件,如是則不感染。
同時,病毒不感染以下程序:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
大話西遊.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
7、工作線程3(禁止其它病毒、破壞卡卡助手和感染網絡)
枚舉進程,如果進程的程序文件名(包括目錄)是如下程序(常見的病毒程序),將終止該進程
realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run1132.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce32.exe
rundl132.exe
svhost32.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv32.exe
spo0lsv.exe
wdfmgr32.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv32.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe
病毒通過修改卡卡助手的驅動"%system32%\drivers\RsBoot.sys"入口,使該驅動在加載時失敗。
枚舉網絡資源,並嘗試對網絡資源中的文件進行感染。
枚舉並嘗試向局域網中計算機的隱藏***享文件夾"%s\\IPC$"、"C$"等寫入名稱為"setup.exe"的病毒源文件,嘗試連接時使用"Administrator"作為用戶名,並使用下列密碼嘗試。
password1
monkey
password
abc123
qwerty
letmein
root
mypass123
owner
test123
love
admin123
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456789
12345
admin
8、工作線程4(修改host文件並下載)
備份host文件為host.txt,並下載文件代替。
查找系統html文件的關聯程序,啟動並註入dll以便穿過防火墻的攔截。
嘗試連接以下地址並下載文件
372*****rg/c.asp
37****rg/top.dat
9、工作線程5(監視並禁止其它病毒)
通過調用驅動獲得新生成的進程,如果進程的文件是指定程序(見工作線程3),終止該進程
驅動:
該驅動加載後首先通過替換 SDT 的中的函數地址掛鉤
ZwSaveKey
ZwQueryDirectoryFile
ZwClose
ZwEnumerateKey
ZwLoadDriver
...
等 API 來保護病毒的註冊表鍵值不被發現和修改,並隱藏病毒文件(boot.exe, linkinfo.dll, nvmini.sys等),
以及禁止壹些安全軟件的驅動加載。
然後,驅動創建壹個名為 DL5CProc 的設備。用戶進程可以通過 ioctl = 25270860 來獲得最後壹個創建進程的進程 ID。
這個進程 ID 是通過調用 PsSetCreateProcessNotifyRoutine 得到的通知獲得。
該驅動還會通過 PsSetLoadImageNotifyRoutine 設置映像加載通知,如果加載的映像文件在以下子目錄中:
COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32
並且名為:
DLLWM.DLL
WININFO.RXK
RICHDLL.DLL
WINDHCP.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND11.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
UPXDHND.DLL
該驅動會通過修改物理內存修改模塊入口是這些模塊返回失敗,無法成功加載。這些動態庫多是壹些盜密碼的
病毒以及Worm.Viking的動態庫,所以被 Magister 感染的系統不會再感染這些病毒。
被感染的文件:
病毒感染文件時,會將原文件最後壹個節增大,將病毒代碼寫入被感染文件的代碼節,修改入口點指向病毒代碼並保存原來的入口點地址,然後將被覆蓋的原來文件的代碼、病毒的dll、sys文件壓縮保存在文件最後壹個節中增大的地方。被感染的文件運行時,病毒代碼先被運行,釋放C:\WINNT\linkinfo.dll和%SystemRoot%\system32\drivers\IsDrv118.sys並加載,然後調用linkinfo.dll的序號為101的函數。病毒代碼最後會恢復原文件被覆蓋的代碼並跳回原文件的入口開始運行原來的文件。
祝妳好運!