这个病毒,是一个下载者来的,主要是下载当前最为流行的盗密码的Trojan-GameThief.Win32.OnLineGames病毒。
这个病毒的几个主要行为特点:
1,感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。
2,释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。
3,%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。
4,actxprxy.dll加载到explorer.exe后会访问116.252.185.15下载%temp%\wmsetup.dll,%temp%\ravupdate.dat这2个文件,注入explorer.exe和svchost.exe。ravupdate.dat的作用是确保%ProgramFiles%\Messenger\msgmr.dll这个启动项,此dll作用不清楚。
由于最开始已经删除了很多,所以这个病毒分析的很粗糙。初步的解决办法:
1,切记首先一定要断网。
2,
清除下列程序:
%temp%\wmsetup.dll
%temp%\ravupdate.dat
%SystemRoot%\temp\wmsetup.dll
%SystemRoot%\temp\ravupdate.dat
%SystemRoot%\apppatch\desktopwin.dll
%SystemRoot%\system32\drivers\eth8023.sys
%SystemRoot%\fonts\framdee.ttf
%ProgramFiles%\Messenger\msgmr.dll
最先用XDelBoxX干掉eth8023.sys,然后用icesword强制删除掉framdee.ttf。其他程序用XDelBoxX或费尔清除即可。由于windows清理助手还不能清除这个病毒,可以试试这个脚本
点击下载脚本
放到助手的ini文件夹下扫描就可以了。
3,删除掉被感染的%SystemRoot%\system32\actxprxy.dll和%SystemRoot%\system32\dllcache\actxprxy.dll
把正常的文件复制还原。
点击下载actxprxy.dll
wmsetup病毒样本:
纳米下载地址
金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明wmsetup.dll,ravupdate.dat,framdee.ttf的清除!
