zoukankan      html  css  js  c++  java
  • Trojan.DL.Win32.Hmir.hl的清除方法 采用驱动提供服务的木马病毒

    花了我一天时间解决的木马,确实很难找

    1、通过瑞星查毒发现c:\windows\system32\30pzg8d.dll文件感染Trojan.DL.Win32.Hmir.hl但是删除不了,只好通过冰刃icesword强制删除。

    3、删除后重启,rundll提示找不到30pzg8d.dll模块,说明还有服务或者启动项在调用30pzg8d.dll


    4、接着在冰刃icesword的启动组里查找是否有rundll之类的项目,彻底排查后没有发现异常。

    5、用msconfig也没有发现,那么到底隐藏在什么地方呢?

    6、在冰刃icesword的内核模块里可以看到系统加载的服务和程序。用SREng(System Repair Engineer)的启动项目里查找,看到服务有两种,一种是Win32服务应用程序,一种是驱动程序。Win32服务就是我们一般看到的系统服务,驱动程序提供的服务一般看不到,在SREng的驱动程序服务里查看,发现有个xy6pchlxf.sys服务有些怪异,找到这个文件的目录c:\windows\system32\drivers,右键查看该文件的属性,居然没法看,问题很可能就出现在这,接着删除xy6pchlxf.sys,删除不掉,用在冰刃icesword强制删除,然后用SREng删除xy6pchlxf.sys这个服务,重启后,rundll提示找不到30pzg8d.dll模块的对话框不见了,在去SREng里查找,还有这个服务,又删除一次,并在注册表里查找xy6pchlxf,删除所有相关项,重启。OK

    7、总结:这个木马病毒不向以前的病毒容易找到,一般都是在注册表的启动组里。它是由一个驱动程序提供的服务来启动这个木马,木马程序被删除后,rundll就报错,而rundll启动的程序又很多,不容易找。通过冰刃icesword和SREng(System Repair Engineer)这两个工具进行系统修复确实很有帮助。冰刃icesword的强制删除那是相当的利害,比瑞星的粉碎文件要可靠。当然瑞星杀毒软件能够检查出这个病毒也功不可没,但不能删除30pzg8d.dll,和xy6pchlxf.sys说明功能还有待提高。
  • 相关阅读:
    QQ 2006 正式版协议变动情况分析
    开源3D方面的软件
    要使silverlight能够在IIS中顺利运行,需要设置的东西.
    文本框回车自动提交
    No installed Service named "Apache2"
    Javascript:三个函数ceil()、floor()、round()的区别
    基于Apache的Svn服务器配置
    下载:HD AUDIO For XP SP3修正补丁
    ViewState在执行Refresh后丢失
    C#关闭应用程序时如何关闭子线程
  • 原文地址:https://www.cnblogs.com/tiasys/p/990391.html
Copyright © 2011-2022 走看看