样本来自：http://bbs.janmeng.com/thread-801100-1-1.html
l9.exe运行后释放下列文件：
system32\drivers\xxxxx.sys（x代表5位随机字母）
system32\yyyyyy.dll（y代表6位随机数字字母组合），此dll通过rundll32.exe加载运行，监视键盘输入。
system32\zzzzzz.bat（z代表6位随机数字字母组合）。此.bat删除l9.exe及自身。
病毒文件的创建时间全部取windows某次更新的时间（本系统为2008－4－14）。
l9.exe运行后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加驱动项。项名为xxxxx（x代表5位随机字母，指向：system32\drivers\xxxxx.sys）

SRENG日志可见病毒驱动项。

病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\分支添加一个随机7位字母组合的键名（本次为oyklruz），本次添加的具体内容为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\oyklruz
"manyc"=hex:2d,9e,6e,b8,de,15
"pchwxqc"=dword:05ff2480
"rxexom"=hex:ab,5a,cc,86,1b,48
"xnro"=dword:d7466c9c

根据SRENG日志，可用IceSword强制删除system32\drivers\xxxxx.sys，没有问题。难的是如何辨认出病毒文件system32\yyyyyy.dll

我用SSM监控l9.exe运行，能发现system32目录下的yyyyyy.dll以及system32\drivers目录下的xxxxx.sys（见图1红字）。


有了SSM的这些监控信息，用IceSword处理此毒就比较容易了。

1、强制删除病毒驱动.sys


2、强制删除病毒库文件.dll



3、重启系统。删除病毒添加的服务项。删除病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\分支添加随机7为键名。


这类病毒较难处理。如果没有工具软件的监控记录，那个病毒.dll很难发现。因此，这类病毒应着眼于防。

用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn)

这个毒的难点不在杀，而在于如何找到、确认那个病毒dll。
如果是被动中招，且杀软不报，用户要有耐心且要花一定时间才能搞掂那个病毒dll。

瑞星主防的“系统加固”设置中有“安装驱动”和“加载驱动”两个选项。勾选这两个选项并选择“提示”。

此外，“系统加固”设置里面的“系统目录”和“系统驱动目录”两个选项也要勾选并选择“提示”。