分类: WINDOWS
2009-04-13 10:57:54
隔几天,再看该电脑时,发现NOD32未升级,升级后提示重启删除C:\WINDOWS\system32\sidjazy.dll(Win32/PSW.OnLineGames.DZQ木马), 用巡警扫描,此木马靠修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows项的AppInit_DLLs键来启 动,此键的DLL文件会在电脑启动时加载到WINLOGON系统进程,并加载到随后启动的每一个进程,因卸载WINLOGON系统进程的DLL文件可能令系统蓝屏崩溃,所以很多杀软会提示重启后删除,但效果不太理想,所以决定手动清除。
第一时间是清理所有进程中的sidjazy.dll模块,可以用巡警的进程管理/查找功能清除。我习惯用命令行处理,X-PS(下载地址:),打开CMD,然后用任务管理器终止EXPLORER进程(资源管理器),有时资源管理器会无法卸载木马DLL模块,影响手动清除,所以最好先终止。在CMD里执行ps /m /f sidjazy.dll(列出哪些进程包含sidjazy.dll模块), ps /e * sidjazy.dll(卸载所有进程中的sidjazy.dll模块),执行这个卸载命令后会出现下图的WINLOGON提示,如果点确定或取消都会立刻蓝屏的,将提示窗口移到一边,不管它。再执行ps /m /f sidjazy.dll看看有没有进程仍加载此模块,如果有残留,继续执行卸载命令,确保卸载完毕。
第二,在命令提示符为C:状态下执行CD C:\WINDOWS\SYSTEM32命令,进入C:\WINDOWS\SYSTEM32文件夹,执行ATTRIB sidjazy.dll -S -H -R (修改文件属性为普通文件),执行DEL sidjazy.dll删除文件。
删除sidjazy.dll文件后,用巡警清除注册表的AppInit_DLLs键并检查其他项目,发现还有WinSockSPI被sqmapi32.dll修改(NOD32对这个没报警 ),按上面步骤清理,然后修复WinSockSPI。WinSockSPI是底层网络服务,一般只有网络防火墙或其他软件修改,可以截取本机所有网络访问的数据,QQ的密码也许是靠这个来盗取的,懒得分析了,留给老麦吧。 重启后,再检查,木马已经消失。
扫描非系统文件:c:\windows\system32\fmsiocps.dll
c:\windows\system32\fmsiocps.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
扫描非系统文件:c:\windows\system32\fmsjhif.dll
c:\windows\system32\fmsjhif.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
扫描非系统文件:c:\windows\system32\ofwdfb.dll
c:\windows\system32\ofwdfb.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
扫描非系统文件:c:\windows\system32\syszxac.dll
c:\windows\system32\syszxac.dll发现木马文件,非常抱歉:
未唯一使用网页搜索的用户,无法自动清除此木马.
c:\WINDOWS\system32\ 扫描完成.
ofwdfb.dll怀疑为木马1734!
ofwdfb.dll:已经清除!
扫描系统驱动程序开始
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP 怀疑为系统驱动级木马1220.
2008-5-16 9:14:09发现通过:%CB%C4%B4%A8+%CE%C0%D0%C7%B5%D8%CD%BC+%B5%D8%D5%F0&e=b39d&title=强震区高清晰卫星地图(震前)来自googleearth_地震现场论坛_网易新..&url=http%3A//bbs2.news.163.com/bbs/dezhen/76402966.html&spos=22&path=%CB%C4%B4%A8+%CE%C0%D0%C7%B5%D8%CD%BC+%B5%D8%D5%F0&pn=20&ver=0&cl=3&t=1210900449390搜索网页,
克星恳请未购买用户,搜索网页请用
非常抱歉, 发现用户搜索百度时候没有到去搜索, 部分功能被限制
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp191.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP191.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\WINDOWS\SYSTEM32\INTERNE.EXE发现无效的系统服务%SystemRoot%\system32\interne.exe
扫描未知系统服务:C:\WINDOWS\SYSTEM32\INTERNE.EXE
发现系统服务147:C:\WINDOWS\SYSTEM32\INTERNE.EXE请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP 怀疑为系统驱动级木马1220.
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp18D.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP18D.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP 怀疑为系统驱动级木马1220.
C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP发现无效的系统服务\??\C:\DOCUME~1\User\LOCALS~1\Temp\tmp185.tmp
扫描未知系统服务:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP
发现系统服务147:C:\DOCUME~1\USER\LOCALS~1\TEMP\TMP185.TMP请将此信息发送到克星论坛1218b
Untitled发现风险系统服务,只对购买用户和使用克星搜索用户提供查杀
名称:AppInit_DLLs
路径:ofwdfb.dll
出品公司:
行为描述:篡改系统启动项
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows