手工杀毒操作需要灵活
近期流行的病毒下载器多比较难杀。难在那堆dll动态插入应用程序进程。
【这类病毒有如下共同点】:
1、病毒本身运行后,在system32\drivers\目录下释放一个驱动ntdapi.sys。此sys加载后,即刻删除自身。
2、病毒本身在 windows目录下释放一个随机字母名称的.exe(字母数目不定)。此.exe是个下载器。下载一堆病毒到中招系统中,然后,删除自身。
3、在注册表下列分支添加加载项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
具体例子见图6
AppInit_DLLs指向的病毒dll有时可以插入winlogon.exe等系统核心进程。
4、监视插入应用程序进程的病毒模块dll。一旦这些病毒dll被用户从被插进程中清楚掉,病毒即刻调用系统程序恢复之。具体调用那些系统程序,可能随不同的变种而异。
昨天在卡饭论坛见到有人提到一个这类病毒,叫什么google.exe。下载运行了一下。中了。
如果用户通过某种操作卸载了被插应用程序进程中的病毒dll,此毒即刻通过drwtsn32.exe恢复被用户清除的插入到应用程序进程中的病毒模块(如:插入到explorer.exe进程中的一堆病毒dll)。即使你结束掉explorer.exe进程,再次开启,结果还是一样-----进程中插了一堆病毒dll。
【针对此毒的查杀方法】:
1、将system32、dllcache目录下的drwtsn32.exe和drwatson.exe打包存放,然后,删除上述目录下的drwtsn32.exe和drwatson.exe(图1)。
2、用IceSword禁止进程创建;结束所有可以结束的进程(图2)。
3、一一检查不能结束的那些进程中是否有病毒模块,若有,则强制卸除之。
4、清理完所有进程后,结束exploer.exe进程(此进程中被插的病毒模块太多,懒得一一强制卸除)。
5、取消IceSword的“禁止进程创建”。
6、三键调出任务管理器,重新开启explorer.exe(图3)。
7、检查一下explorer.exe进程是否干净。干净的(图4)!
8、根据中毒日期(今天)全盘搜索今天创建的文件(包括隐藏文件),找出病毒文件,痛宰(图5)。
9、收拾注册表(删除绿色高亮显示的那些项,图6)。
10、将drwtsn32.exe和drwatson.exe解包归位。搞掂!
注:这类毒的手工杀毒难点在于那堆dll。那堆病毒dll可以通过SRENG等日志工具发现。
用户系统信息:Opera/9.26 (Windows NT 5.1; U; zh-cn)