今天上网,NOD32频频示警,就是提示标题所列的一大堆病毒木马,其实应该是一种病毒,NOD32不能彻底清除。
病毒来源
http://quxiuu.com/mimimi/jink.exe ,jink.exe这个文件名随时会变,如:jinl.exe,jinf.exe,jinj.exe等
病毒特征
该病毒应该是一种木马,因为我发现Terminal Services服务被启动,而且不能被停止,一般我装系统后都要停止一些不用的系统服务,Terminal Services就是其中之一;不知是打开了哪个网页导致该病毒不停的往C:\Documents and Settings\Administrator\Local Settings\Temp目录写文件,就是这些文件jinl.exe,jinf.exe,jinj.exe,jink.exe,而且文件名是随机的。
病毒分析
首先我查看启动项,发现启动项多了Servere,c0nime,crasos,rundl132,winlog0n,servicer,这些启动项对应的可执行文件都在C:\Documents and Settings\Administrator\Local Settings\Temp目录下;我先清除这些启动项,然后转到C:\Documents and Settings\Administrator\Local Settings\Temp目录下,将该目录所有文件都删除,最后还剩下下面几个文件(Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll)删除不掉这些应该就是该木马所用到的一些动态链接库文件了。
下一步就应该分析木马所在的进程了,打开进程管理器(注:我用的是Window优化大师里面带的进程管理器),查看进程列表,没有发现可疑进程,估计嵌入到系统进程了;一般病毒和木马都喜欢寄生在这些系统进程里面,如EXPLORER.EXE,IEXPLORE.EXE,SVCHOST.EXE等,而是我开始仔细分析这些进程所用到的模块列表,果然在EXPLORER.EXE进程里面发现了Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll这些模块
清除病毒
既然已经找到了木马的藏身之地,那么要查杀就很简单了,我先打开Window任务管理器,找到EXPLORER.EXE进程将其结束掉(这时桌面和任务栏会消失,不要最小化任务管理器),然后将Temp目录下的Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll都删除,因为这时桌面和任务栏都已经消失了,可能删除起来比较麻烦,不过只要找到一个可以打开文件对话框的应用程序就行了,所以前面我说明了不要最小化任务管理器,我们可以利用任务管理器的新建任务菜单弹出的文件浏览对话框里找到Temp文件加,将这几个文件逐一删除(注意:在文件浏览对话框下面的文件类型下拉框里要选择所有文件,默认只显示可执行文件),最后在任务管理器-〉文件-〉新建任务-〉在系统Windows(WIN2000,NT为WINNT)文件夹下面找到EXPLORER.EXE文件,点确定就好了,这样木马就被彻底清除了。
注:该木马病毒并没有感染EXPLORER.EXE文件,因为WINDOWS系统有一套保护系统文件的机制;若是该文件被感染,那么到正常的机器上拷贝一个过来执行一下就可以了