這是最近流行的一個新***羣,值得一提的是該***羣開始利用驅動加載自身,更進一步增加了清除的難度。
具體分析和查殺方法如下:
1.該***羣通過註冊兩個名爲AsyncMac和comint32的驅動服務加載自身 服務映像路徑%systemroot%\system32\drivers\comint32.sys
1.該***羣通過註冊兩個名爲AsyncMac和comint32的驅動服務加載自身 服務映像路徑%systemroot%\system32\drivers\comint32.sys
2.comint32.sys加載後 會自動搜索GD*I32.dll,bj*rl.dll,addr*help.dll並加載,將其隨機注入到一個進程中
上述的*可能爲如下文字
ZHTU
MH
DH
FY
HX
MS
MOY
QJ
TL
TX
WM
GJ
WL
ZX
WD
QQHX
DTHX
CHD
CQ
EVE
JZ
BF
WMTW
QQSG
CQSJ
GE
PTYJ
XWTW
QQ
RXJH
SHQZ
DH3
DJ
LRTW
GZGD
ZH
YT2
GFSJ
JR
HXMF
XMJ
JTDD
ZF
DHY
ZHTU
MH
DH
FY
HX
MS
MOY
QJ
TL
TX
WM
GJ
WL
ZX
WD
QQHX
DTHX
CHD
CQ
EVE
JZ
BF
WMTW
QQSG
CQSJ
GE
PTYJ
XWTW
RXJH
SHQZ
DH3
DJ
LRTW
GZGD
ZH
YT2
GFSJ
JR
HXMF
XMJ
JTDD
ZF
DHY
也就是說該***羣的文件名可能爲GDHTUI32.dll,GDMHI32.dll以此類推
這些GD*I32.dll,bj*rl*.dll,addr*help*.dll均爲常見網絡遊戲盜號***
可以盜取如下幾種網絡遊戲的帳號和密碼(包括但不限於)
刀劍
風雲 雄霸天下
卓越之劍
完美世界
QQ幻想
機戰ZeroOnline公測版
奇蹟世界
QQ華夏
QQ三國
天龍八部
...
可以盜取如下幾種網絡遊戲的帳號和密碼(包括但不限於)
刀劍
風雲 雄霸天下
卓越之劍
完美世界
QQ幻想
機戰ZeroOnline公測版
奇蹟世界
QQ華夏
QQ三國
天龍八部
...
中毒後對應的sreng日誌如下:
啓動項目
註冊表
驅動程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在運行的進程
[PID: 3376][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\GDZHTUI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDFYI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQJI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDTLI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWMI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDGJI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWLI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDZXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWDI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQQHXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDDTHXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDJZI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQQSGI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDGEI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDDJI32.dll] [N/A, ]
註冊表
驅動程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在運行的進程
[PID: 3376][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\GDZHTUI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDFYI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQJI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDTLI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWMI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDGJI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWLI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDZXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDWDI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQQHXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDDTHXI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDJZI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDQQSGI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDGEI32.dll] [N/A, ]
[C:\WINDOWS\system32\GDDJI32.dll] [N/A, ]
清除辦法:
對付這個***羣 刪除comint32.sys是關鍵,把他幹掉了其他那些dll文件就只是行屍走肉了
對付這個***羣 刪除comint32.sys是關鍵,把他幹掉了其他那些dll文件就只是行屍走肉了
下載sreng:[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox:[url]http://www.dodudou.com/down/[/url]裏面的原創軟件文件夾下
Xdelbox:[url]http://www.dodudou.com/down/[/url]裏面的原創軟件文件夾下
1.解壓縮Xdelbox
在 添加旁邊的框中 輸入
%systemroot%\system32\DRIVERS\comint32.sys(%systemroot%爲環境變量,表示你的系統文件夾安裝位置,對於系統盤安裝在C盤的XP用戶即爲C:\windows 以此類推)
輸入完一個以後 點擊旁邊的添加 按鈕 被添加的文件 將出現在下面的大框中
右鍵 點擊右鍵菜單中的 “立即重啓執行刪除”
重啓計算機以後 會有兩個系統進入的選擇的倒計時界面
第一個是你原來的windows系統
第二個是這個軟件給你設定的dos系統
系統會自動選擇進入第二個系統
類似dos的界面滾動完畢以後 病毒就被刪除了
之後會自動重啓進入正常模式
在 添加旁邊的框中 輸入
%systemroot%\system32\DRIVERS\comint32.sys(%systemroot%爲環境變量,表示你的系統文件夾安裝位置,對於系統盤安裝在C盤的XP用戶即爲C:\windows 以此類推)
輸入完一個以後 點擊旁邊的添加 按鈕 被添加的文件 將出現在下面的大框中
右鍵 點擊右鍵菜單中的 “立即重啓執行刪除”
重啓計算機以後 會有兩個系統進入的選擇的倒計時界面
第一個是你原來的windows系統
第二個是這個軟件給你設定的dos系統
系統會自動選擇進入第二個系統
類似dos的界面滾動完畢以後 病毒就被刪除了
之後會自動重啓進入正常模式
2.重啓後
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
在左邊的資源管理器中單擊打開系統盤
進入%systemroot%\system32文件夾
搜索GD*I32.dll,bj*rl.dll,addr*help.dll
(注意高級選項中勾選“搜索隱藏的文件和文件夾”)
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
在左邊的資源管理器中單擊打開系統盤
進入%systemroot%\system32文件夾
搜索GD*I32.dll,bj*rl.dll,addr*help.dll
(注意高級選項中勾選“搜索隱藏的文件和文件夾”)
找到後
刪除所有GD*I32.dll,bj*rl.dll,addr*help.dll即可(注意gdi32.dll不要刪除)
最後使用sreng刪除
驅動程序%systemroot%\system32\DRIVERS\comint32.sys的註冊表項目即可
注意:該***羣一般伴隨其他***而來,所以清除該***羣的同時一定要使用手工或者殺毒軟件清除其他***和病
驅動程序%systemroot%\system32\DRIVERS\comint32.sys的註冊表項目即可