【查杀流程】:
1、在SSM的“规则”面板中添加三条规则(见图1)。
2、将SSM设置为启动加载(见图2)。
3、重启系统。
4、用IceSword找到并删除下列文件:
C:\WINDOWS\svchoot.exe
C:\WINDOWS\svchoot.dll
C:\WINDOWS\svchootKey.dll
C:\WINDOWS\svcpack.log
5、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:Windows Instaler(指向:C:\WINDOWS\svchoot.exe)
【评论】:鸽子的作者真是“处心积虑”!想尽一切办法躲避查杀。这个鸽子,目前(2006年4月24日)卡巴的标准病毒库还不报。HijackThis、autoruns等工具也扫不到其服务项,这点是新版鸽子比“灰鸽子2005VIP”NB的地方。
但它还是没逃过IceSword和SSM。
我们等待鸽子的作者再出新花样。
【小结】:这类“鸽子”,虽然隐蔽,但还是可以用IceSword或SSM这样的工具找到手工查杀的切入点。
IceSword:可以发现异常的IE进程(没开IE而可以看到iexplore.exe)
SSM:鸽子运行后,SSM报警N次。多是提示IE企图改写内存的内容。
据此,可以通过IceSword查看iexplore.exe模块。进而发现鸽子的dll及其路径。
再用IceSword查找鸽子的.exe文件。
至此,已经锁定手工查杀目标。接下来要做的,就是本帖叙述的“查杀流程”。
以上是查杀这类鸽子及其它隐蔽性较高木马的基本思路。
此病毒最大的特点是注入了非常多的进程,尤其是注入了%systemroot%\system32\winlogon.exe进程.
看到日志中有这么一项:
[PID: 188][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6997>
[C:\WINNT\svchootKey.DLL] <N/A><N/A>
如果只用icesword还是无法搞定,因为即使是icesword也不能结束%systemroot%\system32\winlogon.exe进程,否则系统即刻崩溃.因此必须用SSM禁止病毒开机加载,才能用icesword干掉它.
