瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 所有杀软都无法清除的顽固木马!!!每次重启后重命名

1   1  /  1  页   跳转

[求助] 所有杀软都无法清除的顽固木马!!!每次重启后重命名

所有杀软都无法清除的顽固木马!!!每次重启后重命名

现象描述:
登陆系统时,提示“。。。。c:\windows\system32\gnxmjy.dll为无效的映像。。。。。”(具体不记得了,必要的话以后可以补充。个人觉得不重要,有经验的杀手,一看就知道我在说什么了!)
进入系统后,使用 QQ医生扫描流行木马,发现木马,信息为

木马详细信息
  • 名称:Win32.Trojan.TPA.ciyb
  • 类型:木马
  • 路径:c:\windows\system32\gnxmjy.dll


使用卡卡安全助手,不能发现该木马
定位该文件后,使用瑞星杀软,会提示该文件为木马,建议是“清除病毒仅需重启”,但是,重启后,仍然存在上述现象,唯一不同是该文件名字改变了,经过长期观察,发现,每次重启,该文件名字都会改变,但是有一个规律,文件名,始终 为 abcdjy.dll,“abcd”为随即的字符串。

在安全模式下也无法清除
尝试使用虚拟软盘启动,在dos下删除,但是,虚拟软盘加载后,无法访问C分区,所以未成功。

以前用卡巴的时候,发现该病毒后,就死机!

我曾经上报过2次,还给瑞星的客服 留言,但是未能解决该问题不知道是不是 该问题却是无法解决呢?

下面是 我上报的编号,和结果:

上报文件成功!
查询编号:RS20091121172654312837
为查询文件分析结果,请记录此编号。谢谢您的参与!

查询编号:RS20091121172654312837
文件名称:pksejy.rar
文件MD5:1321D89B9B5090EDF7C31FB03EBE3DC7
文件状态:压缩文件,包含1个文件
文件名 MD5 状态 病毒名称 解决版本号
pksejy.dll A0E1BBF45... 病毒文件 Trojan.Clicker.Win32.Agent.esj 22.23.03.09


上报文件成功!
查询编号:RS20091123232256390440
查询编号:RS20091123232256390440
文件名称:gxmhjy.rar
文件MD5:CC65BDB0E76677AC1F8F1CB096962AF8
文件状态:压缩文件,包含1个文件
文件名 MD5 状态 病毒名称 解决版本号
gxmhjy.dll A0E1BBF45... 病毒文件 Trojan.Clicker.Win32.Agent.esj 22.23.03.09

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyinSetup 614; .NET CLR 1.1.4322; CIBA; .NET CLR 2.0.50727; TheWorld)

附件附件:

文件名:gnxmjy.rar
下载次数:205
文件类型:application/octet-stream
文件大小:
上传时间:2009-11-27 0:09:43
描述:rar

分享到:
gototop
 

回复:所有杀软都无法清除的顽固木马!!!每次重启后重命名

1.病毒首先会获取自身文件路径,然后以“DELAY_UNTIL_REBOOT”的方式移动文件达到重起删除自身文件
2.试图打开设备"\\.\Driver304315",如果打开成功则加载驱动然后通过DeviceIoControl函数操作向驱动发送操作码220008(该驱动设备应该是由另一个病毒主体创建的,这里由于没有主体文件因此未能知道该驱动主要是做什么)
3.判断自身模块是否在进程explorer.exe中,如果是则将字身文件设置为注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs键的值达到开机插入进程模块中

没有继续看,MS还有修改IE进程内存做些什么 

建议楼主扫描SRE日志上传 方便更全面点分析
不认识我没关系,因为我也不认识你。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT