这是个带驱动的木马群。驱动加载方式:
在注册表的HKEY_CLASSES_ROOT\CLSID\分支添加{C9953583-932E-4EA1-A04B-4523AAB72C30},其中InProcServer32的默认值设置为:
@="C:\\Program Files\\Internet Explorer\\PLUGINS\\system.sys"
"ThreadingModel"="Apartment"。
system.sys通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks加载。
木马添加的其它启动项还有:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam(指向c:\windows\system32\svohost.exe)
HKLM\System\CurrentControlSet\Services
Microsoft WinshellMicrosoft Winshell(指向c:\windows\microsoft winshell.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ZTmassacre(指向c:\windows\help\ztpass.exe)
手工查杀流程:
1、将RegFix.exe的后缀改为.com(或.bat),运行RegFix.com,修复文件关联。(HKEY_CLASSES_ROOT\exefile\shell\open\command的默认值被木马篡改,见图1)。
2、打开注册表编辑器,删除下列注册表项:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"{C9953583-932E-4EA1-A04B-4523AAB72C30}"=""
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam(c:\windows\system32\svohost.exe)
(3)HKLM\System\CurrentControlSet\Services
Microsoft WinshellMicrosoft Winshell(c:\windows\microsoft winshell.exe)
(4)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ZTmassacre(c:\windows\help\ztpass.exe)
(5)HKEY_CLASSES_ROOT\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}
3、重启系统。
4、删除木马文件(图2)。
图1
