作者:清新阳光               ( [url]http://hi.baidu.com/newcenturysun[/url] )
日期:2007/12/09                                                        
这是最近流行的一个新***群,值得一提的是该***群开始利用驱动加载自身,更进一步增加了清除的难度。
具体分析和查杀方法如下:
1.该***群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%\system32\drivers\comint32.sys
2.comint32.sys加载后 会自动搜索GD*I32.dll,bj*rl.dll,addr*help.dll并加载,将其随机注入到一个进程中
上述的*可能为如下文字
ZHTU   
MH
DH
FY
HX
MS
MOY
QJ
TL
TX
WM
GJ
WL
ZX
WD
QQHX   
DTHX   
CHD
CQ
EVE
JZ
BF
WMTW   
QQSG   
CQSJ   
GE
PTYJ   
XWTW   
QQ
RXJH   
SHQZ   
DH3
DJ
LRTW   
GZGD   
ZH
YT2
GFSJ   
JR
HXMF   
XMJ
JTDD   
ZF
DHY
也就是说该***群的文件名可能为GDHTUI32.dll,GDMHI32.dll以此类推
这些GD*I32.dll,bj*rl*.dll,addr*help*.dll均为常见网络游戏盗号***
可以盗取如下几种网络游戏的帐号和密码(包括但不限于)
刀剑
风云 雄霸天下
卓越之剑
完美世界
QQ幻想
机战ZeroOnline公测版
奇迹世界
QQ华夏
QQ三国
天龙八部
...
中毒后对应的sreng日志如下:
启动项目
注册表
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
<\??\%systemroot%\system32\DRIVERS\comint32.sys><N/A>
==================================
正在运行的进程
[PID: 3376][C:\WINDOWS\system32\notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\GDZHTUI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDFYI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQJI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDTLI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWMI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDGJI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWLI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDZXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDWDI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQQHXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDDTHXI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDJZI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDQQSGI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDGEI32.dll] [N/A, ]
    [C:\WINDOWS\system32\GDDJI32.dll] [N/A, ]
清除办法:
对付这个***群 删除comint32.sys是关键,把他干掉了其他那些dll文件就只是行尸走肉了
下载sreng: [url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox: [url]http://www.dodudou.com/down/[/url]里面的原创软件文件夹下
1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\DRIVERS\comint32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为C:\windows 以此类推)
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
2.重启后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘
进入%systemroot%\system32文件夹
搜索GD*I32.dll,bj*rl.dll,addr*help.dll
(注意高级选项中勾选“搜索隐藏的文件和文件夹”)

找到后
删除所有GD*I32.dll,bj*rl.dll,addr*help.dll即可(注意gdi32.dll不要删除)
最后使用sreng删除
驱动程序%systemroot%\system32\DRIVERS\comint32.sys的注册表项目即可

注意:该***群一般伴随其他***而来,所以清除该***群的同时一定要使用手工或者杀毒软件清除其他***和病

转载于:https://blog.51cto.com/yuncx/54427

comint32.sys,GD*I32.dll,bj*rl.dll,addr*help.dll***群的删除相关推荐

  1. comint32.sys,GD*I32.dll,bj*rl.dll,addr*help.dll木马群的删除

    一个新木马群,值得一提的是该木马群开始利用驱动加载自身,更进一步增加了清除的难度. 具体分析和查杀方法如下: 1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像 ...

  2. 在IIS7里配置 ISAPI,运行dll程序,总提示下载dll

    在IIS7里配置 ISAPI,运行dll程序,总提示下载dll,只需要把对应站点应用程序池里面的高级设置里的启用32位应用程序,设为"true"即可.

  3. C++ 调用lib 和 dll的 方法 及 动态库DLL与静态库lib的区别

    C++ 调用.lib的方法: 一: 隐式的加载时链接,有三种方法 1  LIB文件直接加入到工程文件列表中 在VC中打开File View一页,选中工程名,单击鼠标右键,然后选中"Add F ...

  4. pb调用c语言dll,PB调用C#编写的Dll类库

    在c# 中编写com组件,供PB调用实例 前言:c#中写的dll直接是不能被pb调用的,只有写成com组件才可以调用,所以用c#写dll时要注意. c#中新建类库 类库类型为通用类库,项目名为AddC ...

  5. java调用c写的dll jna_jna调用c编写的dll

    我们团队目前开发的产品是用java语言编写的,大家都知道,java编写的代码随便都可以被反编译,导致别人可能会看到你"裸奔"的样子.所以,为了避免这种安全隐患,团队最终商定,将部分 ...

  6. 错误:C:\Windows\System32\ssleay32.dll: Can't load IA 32-bit .dll on a AMD 64-bit

    错误:C:\Windows\System32\ssleay32.dll: Can't load IA 32-bit .dll on a AMD 64-bit 错误的原因是:jdk不是64位的,而是32 ...

  7. C#使用CLR/C++的DLL间接调用Native C++的DLL

    C#使用CLR/C++的DLL间接调用Native C++的DLL 开发环境:win 7  VS2010 简介:C#的exe使用CLR/C++间接调用Native C++的DLL. 第一步:创建一个C ...

  8. 关于Dll、Com组件、托管dll和非托管dll的理解

    Com组件和dll区别: 1.普通dll不能通过regsvr32.exe来注册,而Com组件能通过regsvr32.exe注册. 2.Com组件是微软的一个协议,满足com组件协议的dll文件就是co ...

  9. vcruntime140d.dll丢失的解决方法_vcruntime140d.dll修复工具下载

    vcruntime140d.dll是电脑系统组建时自己创建的一个补丁文件,也是电脑运行必不可少的一个文件.过没有了它或者改补丁损坏则会导致某些程序或者游戏无法正常运行,设置时电脑会出现蓝屏.没有声音. ...

最新文章

  1. android 广告效果图,android 仿首页广告轮播效果
  2. Android-实现View滑动的6种方式
  3. kaggle使用笔记
  4. 前端学习(2730):重读vue电商网站40之使用vue-table-with-tree-grid
  5. 赋能开发者,英特尔发布oneAPI 2022工具包
  6. java实现多表增加_java多表插入数据
  7. Radon变换——MATLAB
  8. 计算机桌面的照度,学校建筑实验室实验桌面照度标准值?
  9. 某商场G区火灾自动报警与控制系统设计
  10. java程序员中英文简历_2017java程序员英文简历范文
  11. 【建议收藏】三月份开始,二十二个爬虫项目,无套路,附上源码 全部拿走
  12. 服务器v1v2v3v4性能区别,昂达平板电脑V1V2V3V4V5版本之间的区别
  13. javaWeb 学习笔记14 会话跟踪技术CoolieSession
  14. fastdb java_FastDB应用开发指南.pdf
  15. 解决 fxp/composer-asset-plugin 包报错问题
  16. 第八届蓝桥杯全国总决赛真题解析
  17. 萌翻全场!硕士爸爸怀抱1岁萌娃参加毕业典礼:带他提前20年体验毕业
  18. C# 对象转Json和Json转对象
  19. 关于jd-gui启动报This program requires Java 1.8+的错误
  20. uni-app分享app和公众号遇到的坑(仅个人之见,如有错误请给指出)

热门文章

  1. 2022-1-8 《聪明的投资者》学习笔记-19.股东与管理层:股息政策
  2. 设置页面所有链接在新窗口打开
  3. java网络编程入门到精通
  4. pytorch_lesson13.4 Dead ReLU Problem成因分析+通过调整学习率来缓解+Relu特性理解+nn.Sequential建模方式以及参数自定义方法
  5. 安装Mysql服务教程
  6. 类欧几里得算法乱搞记
  7. ArcGIS点、线、面状符号制作「制图入门(二)」
  8. DataWorks数据集成任务切分键妙用
  9. Windows 10 启用windows功能.NET Framework3.5 时 windows无法完成请求的更改 错误代码:0x80072F8F解决方案
  10. 电脑查看java-sdk版本