【回复“西门吹牛”的帖子】
又是一个乱插进程的烂货。
有动态插入行为。貌似不插系统核心进程。
插入explorer.exe以及中毒后运行的所有程序中的N个病毒模块可用IceSword强制卸除。
结束所有病毒进程后扫的SRENG日志如下:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ravshell><C:\windows\system32\SVCH0ST.exe> [N/A]
<svc><C:\DOCUME~1\baohelin\LOCALS~1\Temp\yqr.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mhsa><C:\DOCUME~1\baohelin\LOCALS~1\Temp\mhso.exe> [N/A]
<mppdys><C:\windows\mppdys.exe> [N/A]
<cmdbcs><C:\windows\cmdbcs.exe> [N/A]
<upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\TIMPLATF0RM.exe> [N/A]
<wgs3><C:\windows\wgs3.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys> [N/A]
==================================
驱动程序
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\DRIVERS\npf.sys><CACE Technologies>
==================================
正在运行的进程
[PID: 524][C:\Program Files\Opera\Opera.exe] [Opera Software, 8679]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\qx.dll] [N/A, N/A]
[PID: 2408][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, N/A]
吃饭了。下午有时间再仔细看看这个烂货。
