这是最近流行的一个新木马群，值得一提的是该木马群开始利用驱动加载自身，更进一步增加了清除的难度。

具体分析和查杀方法如下：
1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%\system32\drivers\comint32.sys

2.comint32.sys加载后 会自动搜索GD*I32.dll，bj*rl.dll，addr*help.dll并加载，将其随机注入到一个进程中

上述的*可能为如下文字
ZHTU   
MH
DH
FY
HX
MS
MOY
QJ
TL
TX
WM
GJ
WL
ZX
WD
QQHX   
DTHX   
CHD
CQ
EVE
JZ
BF
WMTW   
QQSG   
CQSJ   
GE
PTYJ   
XWTW   
QQ
RXJH   
SHQZ   
DH3
DJ
LRTW   
GZGD   
ZH
YT2
GFSJ   
JR
HXMF   
XMJ
JTDD   
ZF
DHY

也就是说该木马群的文件名可能为GDHTUI32.dll，GDMHI32.dll以此类推

这些GD*I32.dll，bj*rl*.dll，addr*help*.dll均为常见网络游戏盗号木马
可以盗取如下几种网络游戏的帐号和密码（包括但不限于）
刀剑
风云 雄霸天下
卓越之剑
完美世界
QQ幻想
机战ZeroOnline公测版
奇迹世界
QQ华夏
QQ三国
天龙八部
...

中毒后对应的sreng日志如下：

启动项目
注册表
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在运行的进程
[PID: 3376][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\GDZHTUI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDFYI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQJI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDTLI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWMI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDGJI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWLI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDZXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWDI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQQHXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDDTHXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDJZI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQQSGI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDGEI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDDJI32.dll] [N/A, ]

清除办法：
对付这个木马群 删除comint32.sys是关键，把他干掉了其他那些dll文件就只是行尸走肉了

下载sreng：http://download.kztechs.com/files/sreng2.zip
Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下

1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\DRIVERS\comint32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为C:\windows 以此类推）
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

2.重启后
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统盘
进入%systemroot%\system32文件夹
搜索GD*I32.dll，bj*rl.dll，addr*help.dll
（注意高级选项中勾选“搜索隐藏的文件和文件夹”）

找到后
删除所有GD*I32.dll，bj*rl.dll，addr*help.dll即可（注意gdi32.dll不要删除）

最后使用sreng删除
驱动程序%systemroot%\system32\DRIVERS\comint32.sys的注册表项目即可

注意：该木马群一般伴随其他木马而来，所以清除该木马群的同时一定要使用手工或者杀毒软件清除其他木马和病毒

不错，支持，

版主  有样本吗 

帮忙传个样本dly20061991@sina.com

谢谢

前几天刚干过一台和这一样的毒的电脑，捣鼓完所有启动加载项后，就都成死毒了，前几版本的瑞星病毒库已可以清除残余病毒文件。

但是中了的系统伴随其他的病毒主进程，可以将瑞星的监控停了，但是还显示的小绿伞，并不象过去会变成红伞。

开始只发现电脑慢，特慢（单位工作用电脑）。

观察瑞星那伞绿的，以为正常，右键单击出来的菜单才发现猫腻，原来伞虽然绿的，但是右键菜单竟然显示监控和主动防御都没了，不在了，只光秃秃的一个基本菜单在那，呵呵！！！！！

这制毒的也绞尽脑汁了。

学习！！顶

现在的病毒,变得太可怕了

学习了,版主精神可嘉~~~顶了~~~
可惜我还没碰到过~~呵呵~~

学习了