这是个冒充XP补丁的木马群。
中招后的SRENG日志见附件。
这群木马比较难杀,原因在于“连环套式”的进程插入。其中C:\windows\system32\kvdxskma.dll和C:\windows\system32\LotusHlp.dll动态插入所有应用程序进程。
还带两个驱动C:\windows\system32\DRIVERS\comint32.sys和C:\windows\system32\fat32.sys。
另外,如果你在手工杀毒过程中清理过某进程中的病毒DLL,资源管理器explorer.exe进程中会被病毒插入下列一堆病毒模块:
C:\windows\system32\GDQQSGI32.dll
C:\windows\system32\GDTLI32.dll
C:\windows\system32\GDQQHXI32.dll
C:\windows\system32\GDWMI32.dll
C:\windows\system32\GDFYI32.dll
C:\windows\system32\GDMSI32.dll
C:\windows\system32\GDWLI32.dll
C:\windows\system32\GDZXI32.dll
C:\windows\system32\GDGJI32.dll
C:\windows\system32\GDHnXaI32.dll
C:\windows\system32\GDMOYI32.dll
C:\windows\system32\GDQJI32.dll
C:\windows\system32\GDMHI32.dll
C:\windows\system32\GDJZI32.dll
C:\windows\system32\GDZHTUI32.dll
即便你用IceSword禁止进程创建后,同时卸除这堆dll,也没用。虽然可以强制结束explorer.exe进程,但是,一旦你再次开启该进程,这堆DLL又原样插入了explorer.exe进程。
如果用IceSword先强制删除了那堆插入explorer.exe进程的dll,病毒还会立即释放另外3个dll(图1)。用IceSword强制删除这3个dll以及SRENG日志中所见的病毒文件,其它病毒文件就能顺利删除了(图2)。
删除所有病毒文件后,用SRENG清理一下病毒添加的注册表内容(见SRENG日志)即可。
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)
