comint32.sys，GD*I32.dll，bj*rl.dll，addr*help.dll木马群的删除

huxiqiuzhen

comint32.sys，GD*I32.dll，bj*rl.dll，addr*help.dll木马群的删除
2007-12-09 22:01

作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun) 日期：2007/12/09                                                         (转载请保留此声明) 这是最近流行的一个新木马群，值得一提的是该木马群开始利用驱动加载自身，更进一步增加了清除的难度。 具体分析和查杀方法如下： 1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%\system32\drivers\comint32.sys 2.comint32.sys加载后 会自动搜索GD*I32.dll，bj*rl.dll，addr*help.dll并加载，将其随机注入到一个进程中 上述的*可能为如下文字 ZHTU    MH DH FY HX MS MOY QJ TL TX WM GJ WL ZX WD QQHX    DTHX    CHD CQ EVE JZ BF WMTW    QQSG    CQSJ    GE PTYJ    XWTW    QQ RXJH    SHQZ    DH3 DJ LRTW    GZGD    ZH YT2 GFSJ    JR HXMF    XMJ JTDD    ZF DHY 也就是说该木马群的文件名可能为GDHTUI32.dll，GDMHI32.dll以此类推 这些GD*I32.dll，bj*rl*.dll，addr*help*.dll均为常见网络游戏盗号木马 可以盗取如下几种网络游戏的帐号和密码（包括但不限于） 刀剑 风云 雄霸天下 卓越之剑 完美世界 QQ幻想 机战ZeroOnline公测版 奇迹世界 QQ华夏 QQ三国 天龙八部 ... 中毒后对应的sreng日志如下： 启动项目 注册表 驱动程序 [RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start] <system32\DRIVERS\comint32.sys><N/A> [comint32 / comint32][Running/Manual Start] <\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A> ================================== 正在运行的进程 [PID: 3376][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]     [C:\WINDOWS\system32\GDZHTUI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDFYI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDQJI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDTLI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDWMI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDGJI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDWLI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDZXI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDWDI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDQQHXI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDDTHXI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDJZI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDQQSGI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDGEI32.dll] [N/A, ]     [C:\WINDOWS\system32\GDDJI32.dll] [N/A, ] 清除办法： 对付这个木马群 删除comint32.sys是关键，把他干掉了其他那些dll文件就只是行尸走肉了 下载sreng：http://download.kztechs.com/files/sreng2.zip Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下 1.解压缩Xdelbox 在 添加旁边的框中 输入 %systemroot%\system32\DRIVERS\comint32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为C:\windows 以此类推） 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 右键 点击右键菜单中的 “立即重启执行删除” 重启计算机以后 会有两个系统进入的选择的倒计时界面 第一个是你原来的windows系统 第二个是这个软件给你设定的dos系统 系统会自动选择进入第二个系统 类似dos的界面滚动完毕以后 病毒就被删除了 之后会自动重启进入正常模式 2.重启后 双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮（搜索右边的按钮） 在左边的资源管理器中单击打开系统盘 进入%systemroot%\system32文件夹 搜索GD*I32.dll，bj*rl.dll，addr*help.dll （注意高级选项中勾选“搜索隐藏的文件和文件夹”） 找到后 删除所有GD*I32.dll，bj*rl.dll，addr*help.dll即可（注意gdi32.dll不要删除） 最后使用sreng删除 驱动程序%systemroot%\system32\DRIVERS\comint32.sys的注册表项目即可 注意：该木马群一般伴随其他木马而来，所以清除该木马群的同时一定要使用手工或者杀毒软件清除其他木马和病毒

资料来源:http://hi.baidu.com/newcenturysu ... add2ab5fdf0e65.html

shuipao

1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%\system32\drivers\comint32.sys

阳光老大可能忽视了一点，这个病毒应该是只注册了一个comint32的驱动，另一个是系统原来就有的驱动，只是将其中的imagePath改为病毒驱动。
最后的完整修复应该再添加如下步骤：
开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac\ImagePath
值   system32\DRIVERS\comint32.sys
把 comint32.sys 修改为 asyncmac.sys

huxiqiuzhen

原帖由 shuipao 于 2007-12-10 18:47 发表


阳光老大可能忽视了一点，这个病毒应该是只注册了一个comint32的驱动，另一个是系统原来就有的驱动，只是将其中的imagePath改为病毒驱动。
最后的完整修复应该再添加如下步骤：
开始菜单－运行－输入“regedit ...

感觉有道理,开始我读的时候就有疑问,怎么不处理另外的一个驱动文件?既然病毒已经注册了,就应该处理的

huxiqiuzhen

百度真是小气呀,一个图片也封锁
想看图片的朋友点击最后的那个地址到原处去读.
其实是可以消除的,可是偶太懒,不想弄.

jjkqxzw1

不知道卡巴。360　、AVG能不能拦截这个中？？？？？？？？？？？？