同事最近玩武林外传,今天告诉我他价值100元的装备丢了,小号的一些垃圾装备也丢了,包裹里的钱1分不剩。问了一下他,帐号的密码是7位,不算太简单,如果用算号器之类的东西还是要算半天。
运行SREng(可到down.45it.com下载)查看服务、驱动中无异常,但在注册表--启动项目下发现有异常。
在注册表--启动项目下可见两个启动项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{409B610C-5E4D-4CF8-AD02-7AF80AE238DF}><> [N/A] <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><> [N/A]
操作删除时不成功,刷新后立刻被重建。
随之判定肯定是这两个异常项的问题。
用SRENG扫描日志,仔细观察,发现有两个文件插入到大量的EXE进程中,如Maxthon.exe,包括武林外传的elementclient.exe 。但没有插到QQ.exe中,估计怕被QQdoctor干掉。
[C:\WINDOWS\system32\zxavast0.dll] [N/A, ] [C:\WINDOWS\system32\wlavast0.dll] [N/A, ]
查了一下资料,是这个东西: ,这个玩意2007年10月下旬首先被捕获,但遗憾的,由于是国产病毒,他装的卡巴斯基KAV7.0居然对其无任何反应。
手动清除方法介绍:
1、关闭系统还原。 2、用XDELBOX 1.6(可到down.45it.com下载)填入如下文件,勾选抑制生成和驱动安全删除选项。 C:\WINDOWS\system32\zxavast0.dll C:\WINDOWS\system32\zxavast0.dll C:\WINDOWS\system32\spooldr.sys C:\WINDOWS\system32\dllcache\tcpip.sys
3、立刻重启计算机。重启完成后用SRENG删除如下项目 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{409B610C-5E4D-4CF8-AD02-7AF80AE238DF}><C:\WINDOWS\system32\wlavast0.dll> [] <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><C:\WINDOWS\system32\zxavast0.dll> []
总结: 对于显示为 N/A属性的注册表--启动项目,应该引起高度的关注。显示文件名为空的项目,如同本案,恰恰是病毒的一个处理技巧,如果忽略之,则容易造成误判。需要仔细排查SRENG详细扫描日志。
最后强烈谴责一下木马病毒的作者,如此小偷小摸,无耻至极。
|