特殊病毒需要特殊杀毒方法,杀毒思路很重要
病毒样本来自:http://boolom.com/update.exe大家有兴趣的话可以去运行一下的
嘿嘿,有风险的
不过,可以学到东西的
运行update.exe后,一堆病毒(包括“威金”)进入系统。
然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。
前者插入lsass.exe进程;后者具有不易察觉的注册表回写功能。
其实,如果中招者善用ICESWORD,搞掂这堆病毒也不是什么难事。本帖要讨论的是——不用ICESWORD的杀毒方法(因为不少人对ICESWORD的杀毒操作不太熟悉)。
中此毒后,SRENG日志可见下列异常启动项、服务项:
启动项目
注册表
<TIMHost><C:\windows\TIMHost.exe>
<cmdbcs><C:\windows\cmdbcs.exe>
<load><C:\windows\uninstall\rundl132.exe> []
<MSDEG32><LYLoader.exe>
<MSDWG32><LYLoadbr.exe>
<MSDCG32 ><LYLeador.exe>
<MSDOG32><LYLoador.exe>
<MSDSG32><LYLoadar.exe>
<MSDMG32><LYLoadmr.exe>
<MSDHG32><LYLoadhr.exe>
<MSDQG32><LYLoadqr.exe>
<RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE>
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys>
服务
<C:\windows\system32\sservet.exe><N/A>
<C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
依往常手工杀毒的经验:删除上述启动项、服务项。重启系统后,删除病毒文件即可搞掂。
然而,这次不行!
按上述思路,重启后,多数病毒文件都能顺利删除,但是有几个病毒dll文件不能删除。
用autoruns再次查看启动项,发现:
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>
这个启动项依然存在!
再查看explorer.exe以及杀软的进程模块,下列病毒模块依然存在其中:
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
回头复习SRENG日志的进程部分,发现下列规律:
由上述进程日志猜想,C:\windows\system32\SvTime.dll的启动项的恢复很可能是下述病毒模块之一在关机前重新写入的:
C:\windows\system32\GetsFiles.dll
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
于是,再次用autoruns删除
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll>
然后,立即按reset(也就是电脑机箱上的重启)按钮(不给病毒重写注册表的机会)。
重启后,一一删除剩余的dll,搞掂!
当然,那些被“威金”感染的应用程序(.exe)还需用杀软清除其中的病毒成分。瑞星最新病毒库可以完成这个任务 有必要这么麻烦吗? 用GHOST做个系统也就5分钟左右 基本上去客户那里解决问题要的就是速度
因为时间对于客户来说是很重要的
页:
[1]