Trojan.DL.Win32.Hmir.hl的清除方法 采用驱动提供服务的木马病毒-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

Trojan.DL.Win32.Hmir.hl的清除方法 采用驱动提供服务的木马病毒

简介:
1、通过瑞星查毒发现c:\windows\system32\30pzg8d.dll文件感染Trojan.DL.Win32.Hmir.hl但是删除不了,只好通过冰刃icesword强制删除。

3、删除后重启,rundll提示找不到30pzg8d.dll模块,说明还有服务或者启动项在调用30pzg8d.dll


4、接着在冰刃icesword的启动组里查找是否有rundll之类的项目,彻底排查后没有发现异常。

5、用msconfig也没有发现,那么到底隐藏在什么地方呢?

6、在冰刃icesword的内核模块里可以看到系统加载的服务和程序。用SREng(System Repair Engineer)的启动项目里查找,看到服务有两种,一种是Win32服务应用程序,一种是驱动程序。Win32服务就是我们一般看到的系统服务,驱动程序提供的服务一般看不到,在SREng的驱动程序服务里查看,发现有个xy6pchlxf.sys服务有些怪异,找到这个文件的目录c:\windows\system32\drivers,右键查看该文件的属性,居然没法看,问题很可能就出现在这,接着删除xy6pchlxf.sys,删除不掉,用在冰刃icesword强制删除,然后用SREng删除xy6pchlxf.sys这个服务,重启后,rundll提示找不到30pzg8d.dll模块的对话框不见了,在去SREng里查找,还有这个服务,又删除一次,并在注册表里查找xy6pchlxf,删除所有相关项,重启。OK

7、总结:这个木马病毒不向以前的病毒容易找到,一般都是在注册表的启动组里。它是由一个驱动程序提供的服务来启动这个木马,木马程序被删除后,rundll就报错,而rundll启动的程序又很多,不容易找。通过冰刃icesword和SREng(System Repair Engineer)这两个工具进行系统修复确实很有帮助。冰刃icesword的强制删除那是相当的利害,比瑞星的粉碎文件要可靠。当然瑞星杀毒软件能够检查出这个病毒也功不可没,但不能删除30pzg8d.dll,和xy6pchlxf.sys说明功能还有待提高。



本文转自tiasys博客园博客,原文链接:http://www.cnblogs.com/tiasys/archive/2007/12/11/990391.html,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章
最新文章
相关文章