Posted on 2006-03-25 15:16
风尘仆仆 阅读(927)
评论(0) 编辑 收藏
最近一次上网的时候,监控程序报有一可执行文件LOADHW.EXE将登录在启动项里。我晓得肯定是中毒了,但当时我的诺顿病毒库未即时更新,还查不出该病毒来。于是,自己动手查,终于将其杀掉了,现将过程记录如下。
中招后的迹象比较明显,一是启动电脑时输入用户名和密码后,鼠标光标会变成漏斗状,且进入系统所需时间显示变长;二是关机或重启的时候,第一次按确定按钮并不关机,而是屏幕变暗,这时点击鼠标可以回到桌面,要再一次选择关机或重启才能生效。
该木马一共有三个文件,分别是:
C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys
LOADHW.EXE是一个安装文件,在会把自己注册在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF
它负责在启动时将msitinit.dll调入内存,以及一些其它操作。
用WinPatrol软件中CAT将这三个文件都列入黑名单(不然msitinit.dll会在开机时驻进内存而无法删除),重启电脑,删除这些文件和相应的注册表记录,病毒就给删除了。
虽然病毒删除了,但也在注册表中留下了很多的垃圾键值,且我还不知道删除这些键值会不会对系统有什么影响,所以一直没有敢冒然清理:
例如,在Npf的注册项里有一个ClassGUID={8ECC055D-047F-11DI-A537-0000F8753ED1}
有不少地方都有对它的引用。另外,如果你用UltraEdit打开npf.sys,其中一部分是乱码,还有一部分可识别的文本中就有一些注册表键值,我也不清楚能否删除它们,所以只好保留着。
反正,与病毒的对抗中,永远不可能成为赢家!