关于c0nime.exe和iexp1ore.exe木马群
具体信息是这个帖子的楼主提供的:http://forum.ikaka.com/topic.asp?board=28&artid=8279366
这是经网页传播的木马下载器下载的一堆木马。主体是那个gggg.exe(图1)。
SSM不能结束木马进程(图2),可以用IceSword,先禁止进程创建,再一一结束木马进程,并将插入到正常程序中的病毒模块一一卸除(当然,也可直接结束那些可以结束应用程序进程)。
注:下列病毒模块动态插入explorer.exe(资源管理器)以及其它应用程序进程:
C:\windows\system32\Gjzos.dll
C:\windows\system32\Msxos.dll
C:\windows\system32\LgSyzr.dll
C:\windows\system32\Rav32.dll
具体插入那些应用程序进程,取决于中招后用户运行了那些程序。需用IceSword将应用程序中的病毒模块卸除干净,否则,上述病毒文件不能删除。
接下来,删除病毒文件(图3)。
最后,清理注册表(图4)。
另:
1、Tiny监控到这个gggg.exe感染系统分区以外的.exe,但被我以前设置的防护规则禁止了。还监控到此毒改写hosts文件(也被Tiny的防护规则禁止了)。
2、鉴于system32下的正常系统文件spoolsv.exe已经被病毒文件取代,杀毒后,应将正常系统文件spoolsv.exe拷回system32目录下。
3、据说此毒关闭瑞星杀软。因为我的系统中没有杀软,所以,没观察到这个现象。如果真是这样,请将瑞星杀软的注册表备份重新导入注册表(如果没做瑞星注册表备份或导入后依然不能解决问题,可以考虑重新安装瑞星)。
图1
