最近,这个病毒比较流行。对于不熟悉手工杀毒者,中招后,查杀此毒有一定难度。
我用 IceSword配合SRENG日志的查杀流程如下:
0、扫一份中毒系统的完整SRENG日志。根据此日志确定病毒进程及被病毒插入的应用程序进程。看不懂SRENG日志者,可请明白人帮忙辨认病毒进程及被插进程。
以下各步均用IceSword操作。
1、禁止进、线程创建。结束被病毒插入的进程。在SRENG日志中,被病毒插入的进程典型表现如下:
[PID: 2016 / baohelin][C:\windows\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\cliconfgzx.dll] [N/A, ]
[PID: 3644 / baohelin][C:\windows\system32\rundll32.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\cliconfgzx.dll] [N/A, ]
[C:\windows\system32\wrqszl.dll] [N/A, ]
[C:\windows\system32\mfdesy.dll] [N/A, ]
[C:\windows\system32\zgrjdx.dll] [N/A, ]
[C:\windows\system32\cdwqfs.dll] [N/A, ]
[C:\windows\system32\sgrefg.dll] [N/A, ]
[C:\windows\system32\wklsdd.dll] [N/A, ]
[C:\windows\system32\zefdst.dll] [N/A, ]
[C:\windows\system32\jhfrxz.dll] [N/A, ]
[C:\windows\system32\tdffdl.dll] [N/A, ]
[C:\windows\system32\hhrdxd.dll] [N/A, ]
[C:\windows\system32\mtewdh.dll] [N/A, ]
[C:\windows\system32\ddserh.dll] [N/A, ]
[C:\windows\system32\rfdswc.dll] [N/A, ]
[C:\windows\system32\jfrwdh.dll] [N/A, ]
[C:\windows\system32\wyhesm.dll] [N/A, ]
[C:\windows\system32\cedafb.dll] [N/A, ]
[C:\windows\system32\wyrsdj.dll] [N/A, ]
[C:\windows\system32\fmcvxy.dll] [N/A, ]
[C:\windows\system32\tdggrz.dll] [N/A, ]
[C:\windows\system32\jggtsr.dll] [N/A, ]
2、结束病毒进程:
[PID: 3368 / baohelin][C:\windows\system32\woasickk.exe] [N/A, ]
[PID: 2660 / baohelin][C:\windows\system32\lcjs21.exe] [N/A, ]
[C:\windows\system32\cliconfgzx.dll] [N/A, ]
[C:\windows\system32\wyrsdj.dll] [N/A, ]
[C:\windows\system32\tdggrz.dll] [N/A, ]
[C:\windows\system32\wrqszl.dll] [N/A, ]
[C:\windows\system32\sgrefg.dll] [N/A, ]
[C:\windows\system32\mfdesy.dll] [N/A, ]
[C:\windows\system32\wklsdd.dll] [N/A, ]
[C:\windows\system32\zgrjdx.dll] [N/A, ]
[C:\windows\system32\zefdst.dll] [N/A, ]
[C:\windows\system32\cdwqfs.dll] [N/A, ]
[C:\windows\system32\jhfrxz.dll] [N/A, ]
[C:\windows\system32\hhrdxd.dll] [N/A, ]
[C:\windows\system32\ddserh.dll] [N/A, ]
[C:\windows\system32\rfdswc.dll] [N/A, ]
[C:\windows\system32\tdffdl.dll] [N/A, ]
[C:\windows\system32\mtewdh.dll] [N/A, ]
[C:\windows\system32\cedafb.dll] [N/A, ]
[C:\windows\system32\jfrwdh.dll] [N/A, ]
[C:\windows\system32\wyhesm.dll] [N/A, ]
[C:\windows\system32\jggtsr.dll] [N/A, ]
[C:\windows\system32\fmcvxy.dll] [N/A, ]
3、删除SRENG日志所示下列病毒加载项:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe,lcjs21.exe> [(Verified)Microsoft Windows Publisher]-----注:此项不能删除,只能通过编辑,去掉其中的lcjs21.exe。否则,下次重启就进不了桌面了!
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kmon.dll woasick.dll msbod.dll jordspa.dll> [N/A]----注:通过编辑去掉其中的woasick.dll msbod.dll jordspa.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{189F087F-4378-405F-85FA-37D955AD7A8C}><C:\windows\system32\mtewdh.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\windows\system32\mfdesy.dll> []
<{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\windows\system32\wklsdd.dll> []
<{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\windows\system32\ddserh.dll> []
<{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\windows\system32\tdffdl.dll> []
<{84143967-B645-4BFF-B873-DA1DC886E9A7}><C:\windows\system32\cedafb.dll> []
<{28EB3777-3E23-4E72-8449-A992D09D24C3}><C:\windows\system32\zefdst.dll> []
<{00050005-0005-0005-0005-00050005BB15}><C:\windows\system32\cliconfgzx.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\windows\system32\zgrjdx.dll> []
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\windows\system32\sgrefg.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\windows\system32\hhrdxd.dll> []
<{EB71E0B3-E97D-4D30-8733-E28266467617}><C:\windows\system32\wyhesm.dll> []
<{7914E0AA-ECCB-4311-B584-C49538227824}><C:\windows\system32\jhfrxz.dll> []
<{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\windows\system32\jfrwdh.dll> []
<{F99DEFDD-200B-4410-B572-E90883D527D2}><C:\windows\system32\wrqszl.dll> []
<{461D2AB4-29A5-45C2-9134-D52272D3DE38}><C:\windows\system32\rfdswc.dll> []
<{011DB9B9-44B4-44D9-B17E-BC7608F2E549}><C:\windows\system32\cdwqfs.dll> []
<{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}><C:\windows\system32\wyrsdj.dll> []
<{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\windows\system32\tdggrz.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\windows\system32\jggtsr.dll> []
<{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}><C:\windows\system32\fmcvxy.dll> []
<{5E907A48-400E-4EA8-9792-FFAE052D59E9}><C:\windows\system32\pedadt.dll> []
<{031B7024-4FC5-49B3-98EF-6B810FF12678}><C:\windows\system32\sjhrdh.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<cliconfgzx><C:\windows\system32\cliconfgzx.dll> []
==================================
[HiddFldy / HiddFldy][Running/Disabled]
<\??\C:\windows\system32\d32dx9.sys><N/A>
==================================
3、删除病毒文件(图)。
4、取消IceSword的“禁止进线程创建”。
【此毒查杀须注意以下几点】:
(0)上述操作完成后,病毒会将windows目录下的正常Explorer.exe挪动到system32目录下;并在windows目录下放一个病毒explorer.exe。因此完成上述操作后,请删除这个explorer.exe,并将system32目录下的explorer.exe挪回来。结束explorer.exe进程,再通过任务管理器开启explorer.exe进程。
(1)[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe,lcjs21.exe> 指向的这个.exe文件名随机;其位置,有时在%windows%目录下;有时在%system%目录下。每次感染都可能变化。
(2)C:\windows\system32\cliconfgzx.dll插入所有应用程序进程。被插进程清理干净(或结束)之前,此.dll不能删除。
(3)C:\windows\system32\目录下还有一个cliconfgzx.nls,日志中看不到。这个也是病毒文件,需要删除。
(4)别忘记:当前用户临时文件夹和IE临时文件夹中也有病毒文件,请清空这两个文件夹。
(5)多数情况下,此毒还在%system32%\drivers\目录下创建一个驱动ntdapi.sys。但我这次试验没有此驱动释放。因此,SRENG日志中也没有相应的驱动项。
用户系统信息:Opera/9.26 (Windows NT 5.1; U; zh-cn)
