感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

感染explorer.exe,使用映像劫持,ShellExecHook…的AV杀手GRHSGIH.EXE2

endurer 原创
2008-01-20 第1版

从pe_xscan 的 log上看，这个AV杀手使用的招术与

使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
http://blog.csdn.net/Purpleendurer/archive/2008/01/07/2029442.aspx
http://endurer.bokee.com/6595295.html
http://blog.nnsky.com/blog_view_266928.html
http://blog.sina.com.cn/s/blog_49926d910100859d.html

相似，不过多了两招：

禁止复制/粘贴
感染explorer.exe

先下载 对付感染型的恶意程序一向表现不错的 DrWeb CureIt! 备用，到 http://endurer.ys168.com 下载 IceSword，HijackThis，到 http://endurer.ys168.com 下载 FileInfo 和 bat_do，然后断开网线。
打开注册表编辑器 regedit.exe，删除 O23、O24、O26 对应的项目。
运行IceSowrd，也被恶意程序模拟按键关闭了。
运行HijackThis，打开内置的进程管理工具终止恶意程序进程，不过终止后又重生了。
于是用 HijackThis 先修复 F1、F2、O1、O2、O4 项。

用FileInfo提取log中红色显示的文件的信息，然后把这些文件加入bat_do，打包备份后，延时删除~

运行 DrWeb CureIt! 扫描，首先提示 explorer.exe 被感染，选择了修复操作……后来DrWeb CureIt!也被病毒进程关闭了~再次运行 DrWeb CureIt!， 扫描了一会又被关闭了……
还是先清空IE临时缓存，系统临时文件夹，重启电脑罢……
先尝试进入安全模式，结果蓝屏出错，还是以一般模式启动。
金山毒霸监控中心图标又在系统托盘区出现了，复制/粘贴也恢复正常了~

再次运行 DrWeb CureIt! 扫描，又扫出一些……没等扫描完成，上班时间就到了~

后来朋友通过QQ说DrWeb CureIt! 扫描/修复出了2000多个……

让网友用IceSword检查 log 中的红色显示的文件，有则强制删除，然后用：sfc /scannow 命令检修系统文件……