記異鬼(Trojan.Win32.Agent.e )uiui8.dll病毒查殺（一）

今天去單位。早上看到同事筆記本要做系統。 於是我問怎麼了 然後他告訴我 昨天從朋友那裏copy sql數據庫 時候中毒了。。
我說我來給你殺毒別做系統了。。


病毒的備份。 我收藏了。。今天殺毒利用到的兩個工具

於是乎。就開始了今天的殺毒歷程
具體症狀 就是桌面出現4個ie的快捷方式 有淘寶的 有遊戲的 反正一共是四個。
病毒是通過U盤傳播的。。 他昨天用U盤copy中的
開始運行 msconfig 看啓動項裏沒啥特別的項目 於是 看看開始程序 啓動。 有一個1681的lkn快捷方式 刪不掉（當時不知道這個就是病毒啓動加載的東東）
我插上我的U盤 從裏面找了幾個小工具。。 沒想到 俺的U盤也中毒了。。
症狀很普通。。 就是所有的文件夾變成了可執行程序"文件夾名.exe" 文件夾都被隱藏。 於是我用我們老師寫的一個exe專殺殺掉這個病毒。。
然後 文件夾還原了。。 但是那個文件夾名.exe的n個程序無法刪除。 說程序運行中 無法刪除。。
我用了n種刪除文件的方法 都沒能刪掉。。
到底是什麼進程調用了這些文件呢。。 那些exe的文件夾名文件 還有桌面的4個快捷方式。。
打開任務管理器 根本看不到有陌生進程 於是乎 利用第二法寶 XueTr （第一法寶是老師寫的那個exe文件專殺）
打開XueTr 發現進程有一個紅色的explorer.exe 看他的路徑 竟然在“C:\Program Files\Common Files\Microsoft Shared”
我們知道正常的這個進程應該是在“C:\WINDOWS”下。。 於是乎關掉進程 發現 那4個桌面的快捷方式可以刪掉了 這個explorer.exe也被刪掉。
本來以爲沒問題了。。 後退一個目錄“C:\Program Files\Common Files”發現uiui8.dll 和那個explorer.exe一樣都是隱藏的文件  
這個文件以前沒見過 而且敢肯定 不是系統的文件
憑直覺 就是個惡意dll文件。。 於是沒廢話 直接刪掉。
重啓計算機。。 杯具發現了。。 那四個可惡的桌面快捷方式又都出來了。。 喵了個咪的
打開XueTr 找到explorer.exe進程 然後查看進程句柄 發現了 他調用那4個桌面的快捷方式 和一個收藏夾裏的快捷方式
無意間 在C盤根目錄發現了一個文件夾 隱藏的 而且日期是新的。 名字是MFILES裏面有一個winlogon.exe進程 感覺不對勁額。
這個進程應該是“C:\WINDOWS\system32”目錄下的。。 但是C盤根目錄下咋有這個文件呢。。
於是 在任務管理器裏結束這個。。可是杯具啊 直接藍屏了。。
於是重啓。。想了半天。進安全模式刪 還是杯具。。 安全模式進去也藍屏 我了個去的。。
後來實在沒轍了。。 用winpe吧。。 同事的U盤做了個winpe
重啓電腦 開機把BIOS啓動項從硬盤改爲usb啓動 插上U盤 重啓 進winpe  
刪掉 “C:/MFILES”整個目錄 還有之前的那個“C:\Program Files\Common Files\Microsoft Shared\explorer.exe”
退一個目錄刪掉“C:\Program Files\Common Files\uiui8.dll”  
接着刪除 桌面4個快捷方式 還有收藏夾裏的一個快捷方式。 對了 還有就是那個啓動項。 開始 程序 啓動裏的 那個1681的快捷方式

至此 殺毒完成。。 重啓 進系統 那4個快捷方式沒有了。。收藏夾裏的1個也沒了。
後來檢查Windows目錄 發現一個boot文件夾裏面有啓動文件的備份。。 於是看到了這個“1681.lnkCommon Startup”
裏面內容是
C# code L F? ?p???p???p?? P郞??i⒇ +00? /C:\ : 1 ?? MFILES $ 錁?E2?? M F I L E S L 2 ?? winlogon.exe 0 錁???? w i n l o g o n . e x e E - D 撠饜 C:\MFILES\winlogon.exe C : \ M F I L E S ` 燲 user-035a4316f9 h?N?響禲2_€lXC槈?噕 )?~ h?N?響禲2_€lXC槈?噕 )?~

我直接用記事本打開看的。。 說明 這個文件調用C盤的那個mfiles裏的winlogon.exe 然後那個病毒文件會自動釋放2個文件
C:\Program Files\Common Files\Microsoft Shared\explorer.exe和C:\Program Files\Common Files\uiui8.dll
並釋放到桌面4個快捷方式 和收藏夾的一個快捷方式。。
大概 這個病毒就是這個原理。。

對了 最後說下。。 這個病毒還會隱藏可執行程序的後綴 exe 但是 我開始修復 可以修復 後來改註冊表修復 就是不出來鬱悶。。 不過病毒是殺了到。。

估計 我是第一個發佈這個病毒查殺的人。 希望有高手跟貼 詳細的把這個病毒殺掉。。 感覺這個病毒很JJ 但是 無論多JJ的病毒 都有被攻克的

吼吼 廣大的反病毒高手們 我們努力制止這些惡意的病毒吧。。

貌似有人要樣本 玩。。我發下面
uiui888.rar (57.89 KB) 由於是病毒 我怕小白誤點 所以加了密碼 密碼就是我的id。。