win32.troj.enhookt.b.20520病毒的处理

首页	安全动态	IT新闻	安全人物	本站动态	漏洞公告	病毒警报	木马预警
流氓软件	漏洞分析	入侵检测	升级补丁	安全配置	信道安全	设备安全	协议安全
WEB安全	病毒分析	木马研究	脚本注入	后门探讨	技术应用	数据安全	企业专区

收藏本站

设为首页



	会员登录：

站内搜索：新闻中心系统安全网络安全安全技术下载中心

win32.troj.enhookt.b.20520病毒的处理

作者：李铁军文章来源：赛迪网点击数：更新时间：2007-9-12 1:01:31

周末咨询这个病毒的人突然多了起来，带毒文件是一堆DLL，这个病毒通过系统执行挂勾加载，和那个AV结者下载器非常相像，只不过这个病毒不再关闭杀毒软件了。中毒后最大的麻烦是清除，这个病毒通过映像劫持和系统执行挂勾来加载，即使启动系统到安全模式，病毒一样会执行。仍然会发现病毒，而难以清除掉。

清除这个病毒，除了杀毒软件，还需要几个辅助工具。比如Sreng和金山清理专家。对初级用户来说，清理专家更容易使用，报告也更简洁。

比如这个案例：

Sreng的扫描日志（节选）

　　　映像支持：
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
          <AppInit_DLLs><WinFormA9.dll> [N/A]
      执行挂勾：
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
          
      <{1D47B341-43DF-4563-753F-345FFA3157D1}><C:\WINDOWS\system32\kvmxama.dll> 
      [N/A]
          
      <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> 
      []
          
      <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> 
      [N/A]
          
      <{1598FF45-DA60-F48A-BC43-10AC47853D51}><C:\WINDOWS\system32\rarjapi.dll> 
      []
          
      <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll> 
      [N/A]
          
      <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll> 
      [N/A]
          
      <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> 
      []
          
      <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> 
      []
          
      <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll> 
      []
          
      <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll> 
      [N/A]
          
      <{1A321487-4977-D98A-C8D5-6488257545A1}><C:\WINDOWS\system32\kapjazy.dll> 
      [N/A]
          
      <{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><C:\WINDOWS\system32\xyupri2.dll> 
      []
          
      <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><C:\WINDOWS\system32\zxavast0.dll> 
      []
          
      <{D12BC423-3713-224D-3F55-32B35C62B11D}><C:\WINDOWS\system32\WinFormA9.dll> 
      []
          <{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}><C:\Program Files\Common 
      Files\Microsoft Shared\MSINFO\System6.ins> [N/A]

      服务：
      [systems / systems][Running/Auto Start]
      <C:\WINDOWS\system32\126.exe><Microsoft Corporatio>（这个病毒伪造了微软的签名）

      病毒注入了多个正常程序的线程，以Explorer.exe为例：
      [PID: 1768 / new][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 
      6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
          [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ]
          [C:\WINDOWS\system32\rsztapm.dll] [N/A, ]
          [C:\WINDOWS\system32\rarjapi.dll] [N/A, ]
          [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ]
          [C:\WINDOWS\system32\avwlamn.dll] [N/A, ]
          [C:\WINDOWS\system32\xyupri2.dll] [N/A, ]
          [C:\WINDOWS\system32\zxavast0.dll] [N/A, ]
          [C:\WINDOWS\system32\WinFormA9.dll] [N/A, ]
          [C:\WINDOWS\system32\yfmrafjoty.dll] [N/A, ]
          [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 
      (xpclient.010817-1148)]
          [C:\WINDOWS\system32\nvshell.dll] [, ]
          [C:\WINDOWS\system32\isapir.dll] [N/A, ]
          [C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]

      修改winsock
      ==================================
      Winsock 提供者
      MSAFD ICMP
          C:\WINDOWS\system32\isapir.dll(, N/A)
      MSAFD ICMP
          C:\WINDOWS\system32\isapir.dll(, N/A)

一个完整的Sreng日志一般在50KB左右，没有经验的人看这个如同天书。

对于清理专家来说，在全面检测中，这些项目都非常直观。并且联机检查安全项的功能，直接就会报告上面这些DLL是未知项。分析清理专家的报告，就简洁多了（这两份报告并非同一台机器，样本有所不同，病毒名是一样的，也说明这个病毒生成的文件是多个）

; 执行挂钩（ShellExecuteHooks）
      70 - C:\WINDOWS\system32\kafyczy.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\avwlamn.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\kafybzy.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\rarjapi.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\kvmxbma.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\rsjzapm.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\kvdxbma.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\avzxamn.dll - (NULL) - 0.0.0.0
      70 - C:\WINDOWS\system32\rsztapm.dll - (NULL) - 0.0.0.0
      70 - C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins - 
      (NULL) - 0.0.0.0

      ; 映像劫持（Image File Execution Options）

      ; 开机自启动程序
      38 - ; D:\Program Files\flyer\flyer.exe - (NULL) - 0.0.0.0

      ; 系统服务
      60 - C:\WINDOWS\system32\systems.exe - Microsoft Corporatio - 
5.1.2600.2180

      ; 当前进程
      50 - C:\WINDOWS\system32\systems.exe - Microsoft Corporatio - 
5.1.2600.2180
      51 - C:\WINDOWS\system32\avwlast.exe - (NULL) - 0.0.0.0
      51 - C:\WINDOWS\system32\kafyczy.dll - (NULL) - 0.0.0.0
      50 - C:\WINDOWS\system32\kafycaz.exe - (NULL) - 0.0.0.0
      50 - C:\WINDOWS\system32\rsjzasp.exe - (NULL) - 0.0.0.0
      51 - C:\WINDOWS\system32\avzxamn.dll - (NULL) - 0.0.0.0
      50 - C:\WINDOWS\system32\avzxast.exe - (NULL) - 0.0.0.0
      51 - C:\WINDOWS\system32\rsztapm.dll - (NULL) - 0.0.0.0
      50 - C:\WINDOWS\system32\rsztasp.exe - (NULL) - 0.0.0.0

在清理专家的界面上能清晰表现出执行挂勾的映像劫持（以这张图为例，可以看看执行挂勾和映像劫持）被win32.troj.enhookt.b.20520病毒入侵的机器会发现这个列表很长，评估为病毒或未知。

杀毒

可以使用清理专家配合毒霸一起使用（清理专家不枉杀毒伴侣的称号），如果你是其它杀毒软件的用户，一样可以使用清理专家帮你搞定这个病毒。

方法还是很简单，通过上面的方法，以及杀毒软件的报告（会报告病毒文件具体的路径，杀不掉的记下来，或者看日志），按图索骥就找到病毒文件所在，再拖放到文件粉碎器的窗口，直接点击彻底删除，然后重启，在上面那个界面中，右键点击那些不存在的加载信息（因为文件已经删除，程序将显示找不到文件），再点击清除此项。

然后用清理专家百宝箱中的LSP修复，工具，应该能看到异常，点击自动修复，这个病毒就解决了。

杀毒要领

病毒在运行，删除失败时，清理专家的文件粉碎器可以很好的解决这个问题，相对而言，清理专家更适合初学者独立解决问题。操作门槛较低，也相对安全。

文章录入：郝丽责任编辑：郝丽

上一篇文章： "HTML制毒者"躲避查杀　降低电脑安全级别

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

反病毒专家找出破解黑客
病毒回顾　让你记忆犹新
mmtask.dll病毒的清除方
常见病毒、木马进程速查
“大猩猩”病毒威胁近百
冲击波(MSBlast)病毒分析
加密处理使密码更安全[C
新MSN机器人病毒强袭小
特洛伊病毒 Win32.BettI
清除使用映象劫持技术的

站长邮箱：webmaster@anquan365.com

联系电话：86-10-67634029