恶意软件Troj.LYLOADMR ,Dxdlg_Troj,PswMHXY(Troj)。用金山清理专家和windows清理助手都可以查出来,却总是删除不掉。
使用清理专家的文件粉碎器彻底删除以下文件:
c:\windows\system32\mxcdcsrv16_080327.dll
c:\windows\system32\lyloadqr.exe
c:\windows\system32\lyloadhr.exe
c:\windows\system32\lyloadmr.exe
c:\windows\system32\lyloadar.exe
c:\windows\system32\lyloador.exe
c:\windows\system32\lyleador.exe
c:\windows\system32\lyloadbr.exe
c:\windows\system32\dxdlg.exe
c:\windows\system32\drivers\bootdrv.sys
重启电脑后,再使用清理专家的修复功能,将残留加载项清理干净。
该病毒变种较多,有的变种修改了注册表的访问权限,需要手动恢复相应帐户的访问权限
regedit.exe 找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
在 run 上点 右键 权限!
出现的权限对话框上点 高级
出现的高级安全设置对话框上点 所有者 标签!
将所有者更改为 你的登录帐户(比如adminstrator) 钩选 替换字容器及对象的所有者 确定!
将everyone的权限设置为 完全控制!
然后就可以清理掉了!
这是一个木马下载器程序。它会在中毒电脑上打开端口,然后从病毒作者指定的地址下载病毒。
1.程序运行后,生成文件
%Temp%\text.exe
2.注册表添加启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"nb" = "%system32%\text.exe"
3.运行时,病毒会下载并运行文件C:\14\flashget_2240_1.exe,尝试与其它系统的点对点网络客户端建立通信。为了能够下载
并运行文件它通过本地UDP 4000端口连接某个IP地址。
win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
病毒 2005-12-16 01:44:23 C:\WINDOWS\system32\drivers\vchelp.sys Win32.Troj.Mnless.373248 清除成功
病毒 2005-12-16 01:44:21 C:\WINDOWS\system32\drivers\acpidisk.sys Win32.Troj.CinmusT.df.235140 清除成功
9.win32.troj.delf.vb.8192
查毒日志类似于:
C:\WINDOWS\system32\IME\SC38.EXE\BINDFILE\SMSS.EXE,可能反复会发现
升级到07.8.20的版本即可查杀,又一个老病毒被下载器召唤的例子。
10.Win32.Hack.PcClient.cb.64000
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
06.10.23的版本即可查杀,同样是老木马被下载器召唤的实例。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
/zuixinbingdu/2008/0329/2830.html
/zuixinbingdu/2008/0314/2713.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(/Anti-virus/anti_virus_2719.html)
您的位置: