【前言】
本次病毒分析以XP系统为例
【初步分析】
出现这个木马应该与傲迅浏览器辅助这个流氓插件有关
【日志分析】
从HIJACKTHIS的日志中我们可以发现有如下相关项目:
(当然HIJACKTHIS的扫描并不彻底)
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs
【相关文件及文件夹】
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll
【相关文件分析】
C:\WINDOWS\system32\wmpdrm.dll添加IE加载模块
C:\WINDOWS\system32\msibm\cfsbho.dll添加IE加载模块
C:\WINDOWS\system32\msibm\msibm.dll插入到多个系统进程
C:\WINDOWS\system32\spoolsv\spoolsv.exe冒充微软打印机程序并添加为自启动项
C:\WINDOWS\system32\msibm\cfsys.dll添加为自启动项
添加删除程序中出现两个奇怪的卸载程序:“NavAngel”和“WinDirected 2.0”
【解决参考】
用HIJACKTHIS修复
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs
双击C:\WINDOWS\system32\msibm\下的uninstall程序
卸载清除C:\WINDOWS\system32\msibm\
开始--运行
输入regedit
确定
进入注册表
展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall”,在Uninstall文件夹下删除“NavAngel”和“WinDirected 2.0(或WD2)”这两个文件夹
删除
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll
清空IE临时文件夹
清理注册表(建议使用优化大师)
可以使用“恶意软件清理助手”这个小工具
下载http://www.tommsoft.com/products/
使用前请先在线升级该工具
建议清理注册表之前备份一下注册表
【提示】
若正常模式下无法解决
建议进入安全模式下操作
【小常识】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再进行查找一下
或利用KILLBOX来删除
KILLBOX下载:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考:
http://www.xfilt.com/tech/trojan-horse.htm
