特点: 1、Keygen.exe运行后,在system32文件夹中释放一个随机文件名的DLL(本次感染释放的是:rqrsppn.dll)。随后,将Keygen.exe自身删除。 2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃,重启。 3、此DLL木马有注册表守护功能。本次感染,木马添加的注册表项如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{35845E32-35D9-46BB-9240-258AB96391C5}"=""
HKEY_CLASSES_ROOT\CLSID\ {35845E32-35D9-46BB-9240-258AB96391C5}
4、删除上述注册表项后,木马立即原样写入。用SSM禁止写入注册表——无效。 5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程:
1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支,找到木马写入的内容(本例为:{35845E32-35D9-46BB-9240-258AB96391C5})。 展开HKEY_CLASSES_ROOT\CLSID\,找到木马写入的CLSID(本例为{35845E32-35D9-46BB-9240-258AB96391C5}),并记下其指向的文件名及其路径。 2、用IceSword禁止进程创建。 3、删除木马添加的注册表项。 4、删除木马文件(本例为C:\windows\system32\rqrsppn.dll)。 5、断开计算机电源。搞定。
电脑软硬件应用网提醒:以上提到的软件均可到该连接下载.下载地址: http://down.45its.com(SREng 也可到该地址下载)
其它:如因病毒变种或对本教程有疑问请到电脑软硬件应用网病毒求助留言.电脑软硬件应用网求助留言地址:www.45its.com/mianfeiliuyanban/index.asp?user=Virus,更新解决教程请到电脑软硬件应用
|