我要提问奇虎首页 > 赏金社区 > 电脑网络 > 查看问题

ac2000

奇虎小灵通

县长助理(8级)

发小纸条

求教高手。中了OSO病毒该怎么办？

悬赏: 5 金币 提问于2008-05-11 18:09:40 解决时间:2008-05-18 18:21:38

我有金山毒霸最新版，每次都查出来，老也杀不完，好象是蠕虫类型的！求教高手；怎么样把他彻底清除啊！

203.187.187.*

回答于 2008-05-11 18:15:24

解决方法如下，请按步骤执行：
先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来
然后右击D盘→打开的方法打开D盘，你会看到auotrun.inf文件，先不要删除它，双击它,会自动用记事本打开这个文件，里面有open="一个有exe文件"，到这里你要记信这个open后的这个exe文件，然后关闭记事本。
接下来，右击任务栏→任务管理器→进程→找到你刚才看到的open后的那个exe文件的进程→右击→结束进程树。再到D盘下面，你应该可以顺序删除里面的autorun.inf和open指向的exe文件了。
一般它还会感染其他盘，并且会在注册表里面有启动项，只要你重启就会重新发作，所以你还要把其它的盘检查一次。然后删掉注册表里的启动项，方法如下：
开始→运行→regedit，进入注册表，打下如下的子键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边找open＝指定的那个exe文件的启动项。一般会是c:\windiws\*****.exe之类！！
如果有，右击→删除即可！！这样就不会再发作了！
到此应该可以解决了！！！
参考资料：http://www.luckfish.net/rising.htm

支持(2) 反对(0)

按回答时间 | 按评价高低网友回答(共5个回答)

mayangang

小学生(4级)

发小纸条

回答于 2008-05-11 19:50:19

2楼

在网上下个AUTO专杀工具，下来杀完以后从起下机器就OK了。

保证好用。

支持(0) 反对(0)

cai0cai

奇虎小灵通

[电脑网络]专家

发小纸条

回答于 2008-05-11 19:55:22

3楼

楼上不错

支持(0) 反对(0)

ttyy66666

奇虎小灵通

上校(10级)

发小纸条

回答于 2008-05-11 21:07:58

4楼

一、下载USBCleaner,procexp和Autoruns软件(不知位置百度一下就能找到),下载到的是压缩文件,先不要解压,以防解压后被病毒感染
二、重新启动,进入安全模式,启动开始菜单的运行:WinRAR(整个过程最好不要打开我的电脑,更不的双双各本地磁盘.因但一双击运行oso.exe),解压并运行procexp
和Autoruns,在procexp中删除conime,severe的进程(一次删除不了可多次删除),在Autoruns找到并删除severe和conime
三、使用WinRAR删除c:\windows\system\conime.exe和severe,再删除c:\windows\system\drive\conime.exe和severe.
四、解压并运行USBCleaner,全面清除各磁盘中的U盘病毒
五、进入正常模式,下载并安装新的反病毒软件(建议360安全卫士,其自带免费的卡巴斯基6.0)(原有的病毒软件已经被oso.exe破坏),进行全面的病毒清查.在此之前请不要运行磁盘中备份的*.exe,因其很易被病毒破坏
通过以上5步,电脑中的U盘病毒可基本而全面的清除.在此建议对于c:盘中无中要资料的用户在完成的四步后增加重新安装系统一步,因为原系统中注册表被修改
祝你早日杀灭顽固的oso.exe
OSO专杀下载地址：（使用迅雷点右键下载）http://www.usbcleaner.cn/download/usbcleaner/usbcleaner20070429.rar

网上资料引用：
【病毒分析】行为恶劣的U盘病毒OSO.exe分析与查杀。

病毒名是瑞星所报。

病毒名：Worm.Pabug.ck

大小：38,132 字节
MD5：2391109c40ccb0f982b86af86cfbc900
加壳方式：FSG2.0
编写语言：Delphi
传播方式：通过移动介质或网页恶意脚本传播

经虚拟机中运行，与脱壳后OD分析结合，其行为如下：

文件创建：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系统盘符
%systemroot%是环境变量，对于装在C盘的Windows XP系统，默认路径为C:\WINDOWS文件夹，以下以此假设进行分析。

创建进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe

使用net stop命令，结束可能存在的杀毒软件服务

调用sc.exe，
config [对应服务] start=disabled
禁用这些服务

被结束和禁用的服务包括：
srservice
sharedaccess（此即系统自带防火墙——笔者注）
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter

其中，在结束瑞星服务的过程中，由于瑞星会弹出提示，病毒作了相应处理：
用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮

禁止或结束以下进程运行，包括但不限于：
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

创建noruns.reg，并导入注册表，之后删除此文件。导入内容：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
改变驱动器的autorun方式（在我的虚拟机里没有实现）

修改注册表，创建启动项（后来在SREng日志中可见的项目）：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]

为预防瑞星注册表监控提示，故伎重施：
用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口
用mouse_event控制鼠标自动选择允许修改。

访问注册表
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
CheckedValue键
破坏显示隐藏文件的功能（这一点在我的虚拟机中没有实现，可能是被TINY或SSM默认阻止了）

然而，做了这么多工作除去杀毒软件之后，作者似乎觉得还不保险，他终于使出了“杀手锏”：
在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
创建以安全软件程序名为名的子项

子项中创建子键
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得这些程序在被双击运行时，均会转为运行病毒文件mpnxyl.exe
形如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

autoruns的日志中可以清楚地看到这些项目，以及遭到这种手法“蹂躏”的程序：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

删除卡卡助手的dll文件kakatool.dll（的确这么做了，虚拟机运行的结果和程序代码里的内容相映证）

为了堵死中毒者的“后路”，又采取了另一种卑劣的手法
修改hosts文件，屏蔽杀毒软件厂商的网站，卡卡社区“有幸”成为被屏蔽的其中一员：
这是后来用SREng看到的结果，在程序代码里也有相应内容：

127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com

另外：

hx1.bat内容：
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0

改日期？不过在虚拟机里没有实现

autorun.inf的内容：
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe

如果你要从右键菜单来判别，很不幸，右键菜单完全看不出异常，无论你是双击还是右键，同样会激活病毒！

TINY还记录到，病毒关闭系统还原服务后再打开。这恐怕会导致丢失还原点的结果。
　　ＯＳＯ这个病毒确实比较历害,电脑感染后,在除C盘以外的所有驱动器目录下都出现了:oso.exe,autorun.ini,注册表,以及系统配置实用程序都无法打开,文件也被强制隐藏了(就是在文件夹选项中修改以后,当你再打开的时候,它自动回到了"不显示隐藏文件"上面去了),且注册表文件无法导入.在安全模式下也是如此，病毒自动运行，而且无法结束，并且把系统时间都修改了，好多杀毒软件都无法运行，下面具体说说我最后的解决方法。
　　　先进入安全模式，在桌面上创建一个名为”ＯＳＯ．ＥＸＥ”的文件夹〔随便的文件格式创建一个文件放入文件夹〕，属性设置为只读，然后分别进入除去Ｃ盘以外的所有盘，分别删除盘中的ＯＳＯ．ＥＸＥ文件，快速把建立的桌面的ＯＳＯ文件复制进去（不要超过两秒），〔这样做是因为再ＷＩＮＤＯＷＳ下是不允许有两个相同文件名的文件的，所以ＯＳＯ在你复制进去你的文件时，它就没办法植入了，嘿嘿聪明吧！〕然后用在运行中输入:gpedit.msc 选择"计算机配置",在其下拉菜单中选择 "管理模板",选择"系统",在其右边菜单中找到:关闭自动播放,再选择"已启用",在关闭自动播放后面选择"所有驱动器"(默认的是CD-ROM,关这是没用的或者说是不够受的的).然后用下载Ｕ盘清洁者查杀！再用下载的autoruns,运行它，因为它没被禁止，进入点击映像，取消其下方所有的选中项目！
好了，ＯＫ了！