这是个通过网页传播的木马下载器update.exe下载的木马群。

中招后，SRENG日志可见下列异常项：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<uhwv2sy><C:\windows\iexpl0re.exe> [N/A]
<eqkt><C:\windows\winlog0a.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.exe> [Microsoft Corporation]
<wsttrs><C:\windows\wsttrs.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\windows\system32\userinit.exe,C:\windows\system\userinit.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{4DEC9B29-F08F-4cbc-B179-592B9283FAC9}><c:\program files\uinoxnwr.dll> [N/A]
服务
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\windows\system32\\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
正在运行的进程
[PID: 704][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\program files\uinoxnwr.dll] [N/A, N/A]
[PID: 644][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\LgSym.dll] [N/A, N/A]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\windows\system32\LgSyl.dll] [N/A, N/A]
[c:\program files\uinoxnwr.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdnd.dll] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 1624][C:\windows\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 2012][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[C:\windows\system32\LgSyl.dll] [N/A, N/A]
[C:\windows\system32\LgSym.dll] [N/A, N/A]
[PID: 1896][C:\Program Files\Opera\Opera.exe] [Opera Software, 8679]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[PID: 856][C:\windows\iexpl0re.exe] [N/A, N/A]
[PID: 920][C:\windows\winlog0n.exe] [N/A, N/A]
[C:\windows\system32\LgSyl.dll] [N/A, N/A]
[PID: 3708][C:\Program Files\HyperSnap-DX 5\HprSnap5.exe] [Hyperionics Technology LLC, 5, 3, 0, 0]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[C:\windows\system32\LgSyl.dll] [N/A, N/A]
[C:\windows\system32\LgSym.dll] [N/A, N/A]
[PID: 3044][C:\Program Files\SRENG\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\windhcp.ocx] [N/A, N/A]
[C:\windows\system32\wsttrs.dll] [N/A, N/A]
[C:\windows\system32\LgSyl.dll] [N/A, N/A]
[C:\windows\system32\LgSym.dll] [N/A, N/A]
——————————————————
其中C:\windows\system\userinit.exe为隐藏进程。c:\program files\uinoxnwr.dll（动态文件名）插入winlogon进程；
C:\windows\system32\windhcp.ocx
C:\windows\system32\wsttrs.dll
C:\windows\system32\LgSyl.dll
C:\windows\system32\LgSym.dll
动态插入应用程序进程，增加查杀难度。

用SSM手工杀毒操作流程见图1－图4；

注册表清理见图5－图8。

注：因为病毒动态插入应用程序进程，因此，不建议先用SRENG删除病毒启动项。按照本帖的杀毒顺序操作，可以顺利清除病毒。

[1] [2] [3] 下一页