前两天不小心中了这个当前最厉害的盗号病毒,几经摧残终于消灭干净,特把心得写出来跟大家一起分享下:
这个病毒,是一个下载者来的,主要是下载当前最为流行的盗密码的Trojan-GameThief.Win32.OnLineGames病毒。病毒的几个主要行为特点:
1、感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。(vista系统不同此大小)
2、释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。(
估计你是把版本信息与数字签名混淆了。另外本区不要上传病毒文件--byxxdrls)
3、%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问
http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。
4、actxprxy.dll加载到explorer.exe后会访问116.252.185.15下载%temp%\wmsetup.dll,%temp%\ravupdate.dat这2个文件,注入explorer.exe和svchost.exe。ravupdate.dat的作用是确保%ProgramFiles%\Messenger\msgmr.dll这个启动项,此dll作用不清楚。
初步的解决办法:
1,切记首先一定要断网。
2,清除下列程序:
c:\windows\wmsetup.dll
c:\windows\ravupdate.dat
c:\windows\temp\wmsetup.dll
c:\windows\temp\ravupdate.dat
c:\windows\apppatch\desktopwin.dll
c:\windows\system32\drivers\eth8023.sys
c:\windows\fonts\framdee.ttf
c:\windows\Messenger\msgmr.dll
最先用XDelBoxX干掉eth8023.sys,然后用icesword强制删除掉framdee.ttf。其他程序用XDelBoxX或费尔清除即可。由于windows清理助手还不能清除这个病毒,可以试试附件中脚本,放到助手的ini文件夹下扫描就可以了。
3,删除掉被感染的%SystemRoot%\system32\actxprxy.dll和%SystemRoot%\system32\dllcache\actxprxy.dll
把正常的文件复制还原,最好能从同系统无感染的电脑上复制。
[
本帖最后由 byxxdrls 于 2008-9-13 08:29 编辑 ]
