最近很多人感染了Backdoor.SdBot.sbc,该病毒释放一个叫kernel32.ime的文件,并且插入svchost.exe进程,而且瑞星反复查杀,不能清除干净,经过我观察,此病毒与前几天我拿到的Backdoor.SdBot.rfn类似所以今天 在虚拟机里测试了Backdoor.SdBot.rfn。并给出解决方案,希望能给大家以帮助。
运行病毒文件remote.exe
有如下动作建立服务Remote Procedure Call (RPC) Remote -删除自身文件-释放kernel32.ime和remote.exe到C:\windows\system32下-kernel32.ime插入svchost进程
接下来就是清除工作了
很奇怪 虽然通过SSM发现建立了服务Remote Procedure Call (RPC) Remote但是在服务列表里没有发现这个东西(即使是通过IceSword看)
在这里提供两种方法
一、
开始 运行 输入regedit 展开HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除RpcRemote目录
使用Icesword删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\和
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root下的LEGACY_RPCREMOTE目录
重启计算机
删除C:\windows\system32\kernel32.ime和C:\windows\system32\remote.exe
二、
下面我提供一种很激进的做法 适合某种情况下删除注册表相关项目失败的情况
方法如下
1.删除C:\windows\system32\remote.exe
2.用sreng2扫描日志
找到C:\windows\system32\kernel32.ime插入的svchost进程 记住他的 ID号
[PID: 844][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\kernel32.ime] <N/A><N/A>
由日志看出 我此次试验的病毒插入的进程是PID: 844的进程
病毒每次插入的的进程的ID不同 所以在杀毒之前一定扫描一个最新的日志
3.在硬盘中找到C:\windows\system32\kernel32.ime备用 (见图1)
4.打开日期和时间 一会儿备用
5.打开Icesword.exe 定位到进程 找到刚才那个ID号的svchost进程,右击该进程,找到模块信息,找到C:\windows\system32\kernel32.ime 点击右边的卸除(见图2,3)
6.此时会立刻出现60秒倒计时重启的对话框 (见图4)马上用我们刚才点开的日期和时间 把日期改成以前的任意一个时候
7.此时倒计时重启会从60秒变得很长(见图5) 我们便有时间 删除那个C:\windows\system32\kernel32.ime文件了
8.删除C:\windows\system32\kernel32.ime
注意 这些步骤一定要连续 中间不要重启计算机 一旦重启了计算机 则要从头开始进行
