该木马后台启动IE连接某远程IP端口19820,此外还有映像劫持(IFEO),不过劫持的对象不是杀毒软件与安全工具,而是系统文件,如cacls.exe、cscript.exe、ftp.exe、reg.exe、sethc.exe,劫持使用的也是系统文件,如ctfmon.exe与taskmgr.exe,不知道它们有没有被感染或被替换,不过似乎是没有。经过两次清理方解决清除。
第一次清除方案:
1.删除以下文件(怎样根据SREng日志的分析报告清除病毒):
c:\program files\stormii\%sessionname%\hmhqe.cc3
2使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
删除其中的映像劫持(IFEO)项(SREng会把IFEO项用红色标出来,直接删除它们即可)
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Messenger / Messenger] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Program Files\StormII\%SESSIONNAME%\hmhqe.cc3>(StormII可能假冒暴风影音安装文件夹)
第一次清除完后,又出现新情况,继续清除:
1.删除以下文件:
c:\program files\keooszcio\srvany.exe(srvany.exe可能不是病毒文件,但它是用于建立服务用的工具,可能是被木马利用,而且所在的文件夹keooszcio很可疑,建议清除)
c:\program files\360deew333.dll
2使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
同样清除残余的IFEO项
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Keooszcio / Keooszcio] <C:\Program Files\Keooszcio\srvany.exe>
[360ersee / 360loversafe] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\360deew333.dll>
两次清理后,不再有IE连接远程端口。另外可以更改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的权限,拒绝写入,以防止病毒木马篡改。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/770.html
