近日,客户说机器怎么越来越慢实在是用不了。Symantec和瑞星老是报一个NTdll32.dll是木马病毒就是干不掉。到现场一看,原来是瑞星死缠着这个病毒不放,把CPU和内存都耗尽了,当然动不了了。客户还反应卡巴斯基都干不掉
下面是从别处找到的资料。然后是我自己的做法。
病毒类型:W32.Fujacks!html Win32.troj.agent.s.412671
加载方法:利用驱动,临架于所有应用程序之上(包括COM)
windows/system32/Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为windows/system32/internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在windows/system32/driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)