病毒样本是本论坛的一个朋友发给我的。
这群病毒中包含威金。还有N个动态插入进程的木马。

查杀难点在于：
1、C:\windows\system32\RAVWM624.dll插入了系统核心进程lsass.exe。
2、下列病毒dll动态插入应用程序进程：
[C:\windows\system32\zlmbx.dll] [N/A, N/A]
[C:\windows\system32\wiopd.dll] [N/A, N/A]
[C:\windows\system32\wuifj.dll] [N/A, N/A]
[C:\windows\system32\hkbvx.dll] [N/A, N/A]
[C:\windows\system32\wjhbm.dll] [N/A, N/A]
[C:\windows\system32\wnmdl.dll] [N/A, N/A]
3、威金动态感染应用程序文件。

我用SSM的杀毒流程如下：

1、将病毒程序.exe、.dll、.sys录入SSM的规则组，阻止其运行（图1－图3）；将SSM设置为自动运行。
2、删除病毒添加的启动项、服务项（图4－图6）。
3、重启。删除病毒文件（图7－图8）。重启时，有些病毒文件已经被杀软干掉了（图9）。
4、由于这群病毒中包括“威金”（感染硬盘中的所有.exe），因此，最后需用杀软全盘杀毒。瑞星可以清除被感染文件中的病毒代码。
【关于图1中rundl132.exe图标为SSM图标的解释】：
估计这是那个GetFiles.dll的杰作。将病毒程序录入SSM规则组时，Tiny提示Logo_1.exe（此病毒程序为“幽灵”程序）通过C:\Program Files\System Safety Monitor\SSMShellUtils.exe加载运行。用Tiny阻止Logo_1.exe运行后，rundl132.exe的图标就变成这样子了。
图1

图2

图3

图4

图5

图6

图7

图8

图9

附：
中毒后SRENG日志所见异常项：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <TIMHost><C:\windows\TIMHost.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <load><C:\windows\uninstall\rundl132.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}><C:\windows\system32\SvgTime.dll>  [N/A]
    <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys>  [N/A]
==================================
服务
[Telephonyl / WindowsDown][Stopped/Auto Start]
  <C:\windows\system32\sservet.exe><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  <C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>

==================================
正在运行的进程

[PID: 780][C:\windows\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\RAVWM624.dll]  [N/A, N/A]
[PID: 972][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
[PID: 508][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\GetFiles.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\SvgTime.dll]  [N/A, N/A]
    [C:\windows\RichDll.dll]  [N/A, N/A]
[PID: 2040][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
[PID: 264][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
[PID: 1668][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
[PID: 1932][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8679]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
[PID: 1612][C:\Program Files\WinRAR\WinRAR.exe]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
[PID: 1876][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
[PID: 2256][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
[PID: 2584][C:\windows\system32\NOTEPAD.EXE]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
[PID: 2264][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]
[PID: 3568][C:\windows\system32\cmd.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
[PID: 3808][C:\Program Files\SREng2\S.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\windows\system32\windhcp.ocx]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]  [N/A, N/A]
    [C:\windows\system32\zlmbx.dll]  [N/A, N/A]
    [C:\windows\system32\wiopd.dll]  [N/A, N/A]
    [C:\windows\system32\wuifj.dll]  [N/A, N/A]
    [C:\windows\system32\hkbvx.dll]  [N/A, N/A]
    [C:\windows\system32\wjhbm.dll]  [N/A, N/A]
    [C:\windows\system32\wnmdl.dll]  [N/A, N/A]