致“孤独豪侠”——木马rundll32.exe的查杀
我用你给的样本感染系统(XPSP2+所有补丁),与你们的中毒表现有所不同:
病毒在C:\WINDOWS\system32\Setup文件夹中创建一个run.tmp文件。可执行文件rundll32.exe在C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\中。
这个病毒比较各色——我用TPF阻止它运行,它就跟我就来这套(见附图),够变态吧!
用IceSword结束病毒进程rundll32.exe,就好了。
查杀步骤:
一、结束病毒进程rundll32.exe;
二、删除下列病毒文件:
C:\WINDOWS\system32\Setup文件夹中的run.tmp
C:\DOCUME~1\当前用户名\LOCALS~1\Temp\Rar$EX00.563\文件夹。
三、清理注册表:
1、展开:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将:"DisableRegistryTools"=dword:00000001改为:"DisableRegistryTools"=dword:00000000
2、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"rundll32"="C:\\DOCUME~1\\当前用户名\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
3、展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将:"Shell"="C:\\DOCUME~1\\baohelin\\LOCALS~1\\Temp\\Rar$EX00.563\\rundll32.exe"
改为:"Shell"="C:\\WINDOWS\\explorer.exe"。
否则,你删除病毒文件重启系统后,就只能看到一个空空的桌面了。
