病毒特徵
该病毒应该是一种木马,因为我发现Terminal Services服务被启动,而且不能被停止,一般我装系统后都要停止一些不用的系统服务,Terminal Services就是其中之一;不知是打开了哪个网页导致该病毒不停的往C:\Documents and Settings\Administrator\Local Settings\Temp目录写文件,就是这些文件jinl.exe,jinf.exe,jinj.exe,jink.exe,而且文件名是随机的。 該病毒應該是一種木馬,因為我發現TerminalServices服務被啟動,而且不能被停止,一般我裝系統後都要停止一些不用的系統服務,TerminalServices就是其中之一;不知是打開了哪個網頁導致該病毒不停的往C:\DocumentsandSettings\Administrator\LocalSettings\Temp目錄寫文件,就是這些文件jinl.exe,jinf.exe,jinj.exe,jink.exe,而且文件名是隨機的。
病毒分析病毒分析
首先我查看启动项,发现启动项多了Servere,c0nime,crasos,rundl132,winlog0n,servicer,这些启动项对应的可执行文件都在C:\Documents and Settings\Administrator\Local Settings\Temp目录下;我先清除这些启动项,然后转到C:\Documents and Settings\Administrator\Local Settings\Temp目录下,将该目录所有文件都删除,最后还剩下下面几个文件(Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll)删除不掉这些应该就是该木马所用到的一些动态链接库文件了。 首先我查看啟動項,發現啟動項多了Servere,c0nime,crasos,rundl132,winlog0n,servicer,這些啟動項對應的可執行文件都在C:\DocumentsandSettings\Administrator\LocalSettings\Temp目錄下;我先清除這些啟動項,然後轉到C:\DocumentsandSettings\Administrator\LocalSettings\Temp目錄下,將該目錄所有文件都刪除,最後還剩下下面幾個文件(Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll)刪除不掉這些應該就是該木馬所用到的一些動態鏈接庫文件了。
下一步就应该分析木马所在的进程了,打开进程管理器(注:我用的是Window优化大师里面带的进程管理器),查看进程列表,没有发现可疑进程,估计嵌入到系统进程了;一般病毒和木马都喜欢寄生在这些系统进程里面,如EXPLORER.EXE,IEXPLORE.EXE,SVCHOST.EXE等,而是我开始仔细分析这些进程所用到的模块列表,果然在EXPLORER.EXE进程里面发现了Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll这些模块 下一步就應該分析木馬所在的進程了,打開進程管理器(注:我用的是Window優化大師裡面帶的進程管理器),查看進程列表,沒有發現可疑進程,估計嵌入到系統進程了;一般病毒和木馬都喜歡寄生在這些系統進程裡面,如EXPLORER.EXE,IEXPLORE.EXE,SVCHOST.EXE等,而是我開始仔細分析這些進程所用到的模塊列表,果然在EXPLORER.EXE進程裡面發現了Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll這些模塊
清除病毒清除病毒
既然已经找到了木马的藏身之地,那么要查杀就很简单了,我先打开Window任务管理器,找到EXPLORER.EXE进程将其结束掉(这时桌面和任务栏会消失,不要最小化任务管理器),然后将Temp目录下的Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll都删除,因为这时桌面和任务栏都已经消失了,可能删除起来比较麻烦,不过只要找到一个可以打开文件对话框的应用程序就行了,所以前面我说明了不要最小化任务管理器,我们可以利用任务管理器的新建任务菜单弹出的文件浏览对话框里找到Temp文件加,将这几个文件逐一删除(注意:在文件浏览对话框下面的文件类型下拉框里要选择所有文件,默认只显示可执行文件),最后在任务管理器-〉文件-〉新建任务-〉在系统Windows(WIN2000,NT为WINNT)文件夹下面找到EXPLORER.EXE文件,点确定就好了,这样木马就被彻底清除了。 既然已經找到了木馬的藏身之地,那麼要查殺就很簡單了,我先打開Window任務管理器,找到EXPLORER.EXE進程將其結束掉(這時桌面和任務欄會消失,不要最小化任務管理器),然後將Temp目錄下的Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll都刪除,因為這時桌面和任務欄都已經消失了,可能刪除起來比較麻煩,不過只要找到一個可以打開文件對話框的應用程序就行了,所以前面我說明了不要最小化任務管理器,我們可以利用任務管理器的新建任務菜單彈出的文件瀏覽對話框裡找到Temp文件加,將這幾個文件逐一刪除(注意:在文件瀏覽對話框下面的文件類型下拉框裡要選擇所有文件,默認只顯示可執行文件),最後在任務管理器-〉文件-〉新建任務-〉在系統Windows(WIN2000,NT為WINNT)文件夾下面找到EXPLORER.EXE文件,點確定就好了,這樣木馬就被徹底清除了。
注:该木马病毒并没有感染EXPLORER.EXE文件,因为WINDOWS系统有一套保护系统文件的机制;若是该文件被感染,那么到正常的机器上拷贝一个过来执行一下就可以了注:該木馬病毒並沒有感染EXPLORER.EXE文件,因為WINDOWS系統有一套保護系統文件的機制;若是該文件被感染,那麼到正常的機器上拷貝一個過來執行一下就可以了 |
|
