这个是个bot后门(Backdoor.Win32.SdBot.aad)。感染系统后,在%windows%下创建木马文件scmsm32.exe,在%system%下创建hpdriver.sys。
注册表改动如下:
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\分支添加LEGACY_SCSMS和LEGACY_HPDRIVER。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Enum\Root\分支添加LEGACY_SCSMS和LEGACY_HPDRIVER。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加hpdriver和SCSMS。
木马插入winlogon.exe和explorer.exe进程运行。此木马有进程守护功能,但没有注册表监控功能。
因此,查杀应从注册表清理入手。
1、打开注册表编辑器。
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\,删除LEGACY_SCSMS和LEGACY_HPDRIVER。
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Enum\Root\,删除LEGACY_SCSMS和LEGACY_HPDRIVER。
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,删除hpdriver和SCSMS。
2、重启系统。
3、删除病毒文件(见附图)。
4、杀毒后,运行WINDOWS UPDATE,去微软打补丁。
_________________________
那个algs.exe的查杀比较简单:
结束病毒进程algs.exe
删除%system%下的algs.exe、aspr_keys.ini。
删除注册表项:HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\分支下的Application。
附件:
155847200598143016.jpg