|
發表於 2007-12-20 13:42:28
|
顯示全部樓層
轉貼:關於Pacex.Gen
NOD32頻頻示警,就是提示標題所列的一大堆病毒木馬,其實應該是一種病毒,NOD32不能徹底清除。
病毒來源
http://quxiuu.com/mimimi/jink.exe ,jink.exe這個文件名隨時會變,如:jinl.exe,jinf.exe,jinj.exe等
病毒特徵
該病毒應該是一種木馬,因為我發現Terminal Services服務被啟動,而且不能被停止,一般我裝系統後都要停止一些不用的系統服務,Terminal Services就是其中之一;不知是打開了哪個網頁導致該病毒不停的往C:\Documents and Settings\Administrator\Local Settings\Temp目錄寫文件,就是這些文件jinl.exe,jinf.exe,jinj.exe,jink.exe,而且文件名是隨機的。
病毒分析
首先我查看啟動項,發現啟動項多了Servere,c0nime,crasos,rundl132,winlog0n,servicer,這些啟動項對應的可執行文件都在C:\Documents and Settings\Administrator\Local Settings\Temp目錄下;我先清除這些啟動項,然後轉到C:\Documents and Settings\Administrator\Local Settings\Temp目錄下,將該目錄所有文件都刪除,最後還剩下下面幾個文件(Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll)刪除不掉這些應該就是該木馬所用到的一些動態鏈接庫文件了。
下一步就應該分析木馬所在的進程了,打開進程管理器(注:我用的是Window優化大師裡面帶的進程管理器),查看進程列表,沒有發現可疑進程,估計嵌入到系統進程了;一般病毒和木馬都喜歡寄生在這些系統進程裡面,如EXPLORER.EXE,IEXPLORE.EXE,SVCHOST.EXE等,而是我開始仔細分析這些進程所用到的模塊列表,果然在EXPLORER.EXE進程裡面發現了Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll這些模塊
清除病毒
既然已經找到了木馬的藏身之地,那麼要查殺就很簡單了,我先打開Window任務管理器,找到EXPLORER.EXE進程將其結束掉(這時桌面和任務欄會消失,不要最小化任務管理器),然後將Temp目錄下的Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll都刪除,因為這時桌面和任務欄都已經消失了,可能刪除起來比較麻煩,不過只要找到一個可以打開文件對話框的應用程序就行了,所以前面我說明了不要最小化任務管理器,我們可以利用任務管理器的新建任務菜單彈出的文件瀏覽對話框裡找到Temp文件加,將這幾個文件逐一刪除(注意:在文件瀏覽對話框下面的文件類型下拉框裡要選擇所有文件,默認只顯示可執行文件),最後在任務管理器-〉文件-〉新建任務-〉在系統Windows(WIN2000,NT為WINNT)文件夾下面找到EXPLORER.EXE文件,點確定就好了,這樣木馬就被徹底清除了。
註:該木馬病毒並沒有感染EXPLORER.EXE文件,因為WINDOWS系統有一套保護系統文件的機制;若是該文件被感染,那麼到正常的機器上拷貝一個過來執行一下就可以了 |
|