运行update.exe后,一堆病毒(包括“威金”)进入系统。然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。
运行update.exe后,一堆病毒(包括“威金”)进入系统。
然而,这堆病毒中最难缠的还不是威金,而是C:\windows\system32\RAVWM624.dll和C:\windows\system32\SvTime.dll。
前者插入lsass.exe进程;后者具有不易察觉的注册表回写功能。
中毒后,SRENG日志可见下列异常启动项、服务项:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TIMHost><C:\windows\TIMHost.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<load><C:\windows\uninstall\rundl132
.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> [N/A]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr
.exe> [N/A]
<RavMonWm><C:\DOCUME~1\baohelin\LOCALS~1\Temp\RAVWM.EXE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> [N/A]
服务
[Telephonyl / WindowsDown][Stopped/Auto Start]
<C:\windows\system32\sservet.exe><N/A>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\windows\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
依往常手工杀毒的经验:删除上述启动项、服务项。重启系统后,删除病毒文件即可搞掂。
然而,这次不行!
按上述思路,重启后,多数病毒文件都能顺利删除,但是图1、图2红框中的那几个病毒dll文件不能删除。
用autoruns再次查看启动项,发现:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A]
这个启动项依然存在!
再查看explorer.exe以及杀软的进程模块,下列病毒模块依然存在其中:
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
回头复习SRENG日志的进程部分,发现下列规律:
[PID: 1012][C:\windows\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl
.dll] [N/A, N/A]
[PID: 612][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\GetsFiles.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[PID: 1404][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[PID: 1388][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[PID: 2024][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[PID: 2236][C:\Program Files\Rising\Rav\Ravmon.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 45]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[PID: 2660][C:\Program Files\Tiny Firewall Pro\cfgtool.exe] [Computer Associates International, Inc., 6.0.0.52]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[PID: 2620][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[PID: 3968][C:\windows\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
[PID: 2188][C:\Program Files\Tiny Firewall Pro\UmxTray.exe] [Computer Associates International, Inc., 6.5.1.59]
[C:\windows\system32\zerwx.dll] [N/A, N/A]
[C:\windows\system32\wkufd.dll] [N/A, N/A]
[C:\windows\system32\wkjbj.dll] [N/A, N/A]
[C:\windows\system32\hjtdx.dll] [N/A, N/A]
[C:\windows\system32\whgdm.dll] [N/A, N/A]
[C:\windows\system32\wgfdl.dll] [N/A, N/A]
由上述进程日志猜想,C:\windows\system32\SvTime.dll的启动项的恢复很可能是下述病毒模块之一在关机前重新写入的:
C:\windows\system32\GetsFiles.dll
C:\windows\system32\zerwx.dll
C:\windows\system32\wkufd.dll
C:\windows\system32\wkjbj.dll
C:\windows\system32\hjtdx.dll
C:\windows\system32\whgdm.dll
C:\windows\system32\wgfdl.dll
于是,再次用autoruns删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{88A46432-969E-4F5E-913D-3AAF4B6A3051}><C:\windows\system32\SvTime.dll> [N/A]
然后,立即切断计算机电源。
再次开机。
一一删除剩余的dll,搞掂!
当然,那些被“威金”感染的应用程序(.exe)还需用杀软清除其中的病毒成分。瑞星最新病毒库可以完成这个任务。