花了我一天时间解决的木马,确实很难找
1、通过瑞星查毒发现c:\windows\system32\30pzg8d.dll文件感染Trojan.DL.Win32.Hmir.hl但是删除不了,只好通过冰刃icesword强制删除。
3、删除后重启,rundll提示找不到30pzg8d.dll模块,说明还有服务或者启动项在调用30pzg8d.dll
4、接着在冰刃icesword的启动组里查找是否有rundll之类的项目,彻底排查后没有发现异常。
5、用msconfig也没有发现,那么到底隐藏在什么地方呢?
6、在冰刃icesword的内核模块里可以看到系统加载的服务和程序。用SREng(System Repair Engineer)的启动项目里查找,看到服务有两种,一种是Win32服务应用程序,一种是驱动程序。Win32服务就是我们一般看到的系统服务,驱动程序提供的服务一般看不到,在SREng的驱动程序服务里查看,发现有个xy6pchlxf.sys服务有些怪异,找到这个文件的目录c:\windows\system32\drivers,右键查看该文件的属性,居然没法看,问题很可能就出现在这,接着删除xy6pchlxf.sys,删除不掉,用在冰刃icesword强制删除,然后用SREng删除xy6pchlxf.sys这个服务,重启后,rundll提示找不到30pzg8d.dll模块的对话框不见了,在去SREng里查找,还有这个服务,又删除一次,并在注册表里查找xy6pchlxf,删除所有相关项,重启。OK
7、总结:这个木马病毒不向以前的病毒容易找到,一般都是在注册表的启动组里。它是由一个驱动程序提供的服务来启动这个木马,木马程序被删除后,rundll就报错,而rundll启动的程序又很多,不容易找。通过冰刃icesword和SREng(System Repair Engineer)这两个工具进行系统修复确实很有帮助。冰刃icesword的强制删除那是相当的利害,比瑞星的粉碎文件要可靠。当然瑞星杀毒软件能够检查出这个病毒也功不可没,但不能删除30pzg8d.dll,和xy6pchlxf.sys说明功能还有待提高。