|
病毒样本来自:hXXp://boolom.com/update.exe 运行update.exe后,一堆病毒(包括“威金”)进入系统。 然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。 前者插入lsass.exe进程;后者具有不易察觉的注册表回写功能。 其实,如果中招者善用ICESWORD,搞掂这堆病毒也不是什么难事。本文章要讨论的是——不用ICESWORD的杀毒方法(因为不少人对ICESWORD的杀毒操作不太熟悉)。嘻嘻,特殊问题,特殊解决! 中此毒后,SRENG(该软件可到down.45it.com下载)日志可见下列异常启动项、服务项:
依往常手工杀毒的经验:删除上述启动项、服务项。重启系统后,删除病毒文件即可搞掂。 然而,这次不行! 按上述思路,重启后,多数病毒文件都能顺利删除,但是图1、图2红框中的那几个病毒dll文件不能删除。   用autoruns(该软件可到down.45it.com下载)再次查看启动项,发现: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A] 这个启动项依然存在! 再查看explorer.exe以及杀软的进程模块,下列病毒模块依然存在其中: C:\windows\system32\zerwx.dll C:\windows\system32\wkufd.dll C:\windows\system32\wkjbj.dll C:\windows\system32\hjtdx.dll C:\windows\system32\whgdm.dll C:\windows\system32\wgfdl.dll 回头复习SRENG日志的进程部分,发现下列规律: [PID: 1012][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [PID: 612][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\GetsFiles.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\zerwx.dll] [N/A, N/A] [PID: 1404][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [PID: 1388][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [PID: 2024][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\zerwx.dll] [N/A, N/A] [PID: 2236][C:\Program Files\Rising\Rav\Ravmon.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\zerwx.dll] [N/A, N/A] [PID: 2660][C:\Program Files\Tiny Firewall Pro\cfgtool.exe] [Computer Associates International, Inc., 6.0.0.52] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\zerwx.dll] [N/A, N/A] [PID: 2620][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [PID: 3968][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] [PID: 2188][C:\Program Files\Tiny Firewall Pro\UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59] [C:\windows\system32\zerwx.dll] [N/A, N/A] [C:\windows\system32\wkufd.dll] [N/A, N/A] [C:\windows\system32\wkjbj.dll] [N/A, N/A] [C:\windows\system32\hjtdx.dll] [N/A, N/A] [C:\windows\system32\whgdm.dll] [N/A, N/A] [C:\windows\system32\wgfdl.dll] [N/A, N/A] 由上述进程日志猜想,C:\windows\system32\SvTime.dll的启动项的恢复很可能是下述病毒模块之一在关机前重新写入的: C:\windows\system32\GetsFiles.dll C:\windows\system32\zerwx.dll C:\windows\system32\wkufd.dll C:\windows\system32\wkjbj.dll C:\windows\system32\hjtdx.dll C:\windows\system32\whgdm.dll C:\windows\system32\wgfdl.dll 于是,再次用autoruns删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A] 然后,立即按reset按钮(机箱上除电脑按钮以外的那个小按钮,不给病毒重写注册表的机会)。 重启后,一一删除剩余的dll,搞掂! 当然,那些被“威金”感染的应用程序(.exe)还需用杀软清除其中的病毒成分。瑞星(江民,卡巴都能解决)最新病毒库可以完成这个任务。 |