经移动存贮介质传播的病毒patty.exe的查杀
此毒经移动介质传播。病毒模块twain.dll插入winlogon进程;病毒模块1sasrv.dll和adsldps.dll动态插入所有应用程序进程。通过IFEO劫持多个杀毒软件以及常用手工杀毒工具(这次,连XDELBOX1.3也劫持了)。
中毒后的SRENG日志见附件。
利用XDELBOX1.6和IceSword的手工查杀流程如下:
0、将IceSword和XDELBOX分别改名为IS.COM和XDEL.COM。
1、将下列文件拷贝到剪贴板:
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\hkcmd.pat
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\igfxtray.pat
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\REALSC~1.PAT
C:\WINDOWS\system32\1sasrv.dll
C:\WINDOWS\system32\adsldps.dll
C:\WINDOWS\system32\c28591.nls
C:\WINDOWS\system32\Ilass.exe
C:\WINDOWS\system32\SOUNDM~1.EXE
C:\WINDOWS\system32\SVCH0ST.EXE
C:\WINDOWS\system32\twain.dll
c:\autorun.inf
c:\patty.exe
e:\autorun.inf
e:\patty.exe
r:\autorun.inf
r:\patty.exe
2、运行改名后的XDEL.COM。右击待删除文件列表窗口,点击“从剪贴板导入”(XDELBOX提示文件不存在,不必理会此提示。)
3、右击待删除文件列表窗口,点击“立即执行重启删除”。
4、重启后,用改名运行的IceSword删除以下注册表内容:
(0)展开HKEY_CLASSES_ROOT,
删除.pat子键
(1)展开:HKEY_CLASSES_ROOT\
删除:patfile子键
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
删除:BITS子键(指向C:\windows\System32\twain.dll)
(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
删除所有指向C:\windows\system32\SVCH0ST.exe的子键(很多。慢慢删。)。
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)
