瑞星卡卡安全论坛

开机自动在注册表里加载服务项目，删除掉后开机还有，删除extel.exe后开机还有！！
搜索不到extel.dll,extel_hook.dll,extelkey.dll
这到底是什么样的一个病毒？怎么才能杀掉，望高手回复。

仅供参考

1、在正常模式下进入注册表，搜索extel.exe和mapi32.exe，删除。
2、进入安全模式，删掉winnt下的extel.exe，system32下的mapi32.dll、mapi32.exe。皆为系统隐藏文件。如果有rdriv.sys存在，也删掉！

【回复“wfpl6190”的帖子】鸽子飞进了你的系统

为什么要删mapi32.exe?它是什么东西，你怎么知道mapi32.exe？有什么特征没有？这到底是什么病毒呀？是rootkit吗？

【回复“baohe”的帖子】

如果说是鸽子，那为什么查不到那些一组文件呢？

机器里面还有一些mediagateway.exe, 这个又是什么呢？

我用IceSword查看进程，发现一红色extel.exe，结束掉之后就不知道该怎么办了，因为我不知道该用冰刃去杀哪些文件？？

引用:

【wfpl6190的贴子】【回复“baohe”的帖子】 如果说是鸽子，那为什么查不到那些一组文件呢？ ...........................

刚才看错了.
你说是"搜索不到extel.dll,extel_hook.dll,extelkey.dll"
我只看了这熟悉的一组extel.dll,extel_hook.dll,extelkey.dll!晕!
extel.exe是个夹带rootkit的后门.
用IceSword可以干掉(设置看下图)

附件: 1558472005720141440.jpg

结束上图中红字进程后,用IceSword删除%system%下的extel.exe和rdriv.sys这两个病毒文件.

然后,清理注册表.

附件: 1558472005720142106.jpg

上述手工查杀的效果验证:

附件: 1558472005720142631.jpg

1、点击“开始”-“运行”，输入services.msc，或利用管理工具打开服务管理器。
2、查看是否有一个名为“External Telecom”的服务名，如有而且是启动的证明机器中了Extel木马病毒。
因为是新出现的木马病毒，目前尚无专杀工具，手工清除步骤如下：
1、在服务管理器中禁用“External Telecom”服务，然后重新启动机器；
2、重启后，用资源管理器在C:\windows\（或C:\WINNT，请根据本机具体安装目录而定）下找到名为Extel.exe的文件，去除其系统、只读、隐藏属性，然后删除。这个步骤也可通过COMMAND完成，具体步骤如下：
点击“开始”-“运行”，输入cmd，然后在command窗口执行：cd\winnt（或cd\windows）
然后运行：attrib extel.exe -s -h -r
最后删除：del extel.exe
4、删除病毒服务名：“开始”-“运行”，输入regedit，在注册表编辑器中删除以下键值即可：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExternalTelecom
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ExternalTelecom

3、安装补丁程序：MS05－010、MS05－036、MS05－037

这是卡巴斯基查那个样本的结果:

附件: 1558472005720142830.jpg

失敬，失敬...

【回复“baohe”的帖子】

怎么清理注册表，我看你都不是用的注册表编辑器呀，用的什么工具清理的注册表？？

我为什么我接触到的都是WINXP？？

引用:

【wfpl6190的贴子】【回复“baohe”的帖子】 怎么清理注册表，我看你都不是用的注册表编辑器呀，用的什么工具清理的注册表？？ 我为什么我接触到的都是WINXP？？ ...........................

用windows 的注册表编辑器或第三方类似工具都行.只不过,我用TuneUp用顺手了,所以,总是用它.

引用:

【JayFaye的贴子】失敬，失敬... ...........................

谢谢你提供的样本. 现在,找个rootkit样本--真难啊!!

bsfdsgfgsd