瑞星卡卡安全论坛

FakeSys恶意DLL木马&主页被篡改为WWW.25ED.COM
FakeSys恶意DLL木马
插件类型：由机器狗三代木马衍生，恶意BHO，盗网游账号
出品公司：盗号木马作者集团
文件路径：C：\WINDOWS\system32\wzscapi.dll

由360安全卫士查出，其他杀软查不到，症状为开机后360报警该木马，查杀后重起，浏览器点击无效，但是已经查不到该木马，再重起后浏览器恢复工作，但360再次报警该木马。昨天晚上进入魔兽世界，世界报警说有第三方外挂，不给进游戏要求重起，重起后桌面全部消失，包括任务栏，但是任务管理器可以使用，用任务管理器进入桌面后重起，桌面恢复正常，但是以上问题仍然存在。附件为该木马的扫描报告。

另外，浏览器主页已经被恶意篡改为www.25ed.com很长时间，无法修复，因为这里是单位电脑，未被篡改，故在扫描报告中应该没有显示相关信息。

下面就把这个可以文件上传，大家务必帮忙看看啊！！！:default2:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件: wzscapi.rar

文件已收，我们会尽快进行分析

谢谢:default7: :default7:

wzscapi.dll只是一个释放器，行为：
向hosts文件中加入"127.0.0.1 localhost"
将自身资源Bin\101释放到%systemroot%\system32\MicrosoftIeHelper.dll，然后调用"Regsvr32 /s MicrosoftIeHelper.dll"注册之

MicrosoftIeHelper.dll是VB写的ActiveX dll，这种DLL的分析我不在行
但是其中确有http://25ed.com字样，因此主页被修改应该与此有关。

大概解决方案：
关闭浏览器进程，从任务管理器中结束Explorer.exe进程
用SREng在“系统修复”－“游览器加载项”中删除指向%systemroot%\system32\MicrosoftIeHelper.dll的项目（CLSID可能为{F1E18803-856B-4133-A4FC-5A3100D17212}）
重启后删除%systemroot%\system32\MicrosoftIeHelper.dll及wzscapi.dll

如果wzscapi.dll是由其他病毒生成，则必须将源头干掉，否则重启后还会再生。

另从楼主描述，中的病毒很可能不止这一种。

综上，建议在中毒电脑上扫SREng日志，发到反病毒区求助，以更全面地解决病毒问题。