解决颇能迷惑人的木马wdm.exe的方法有哪些?
看网友日志时发现其中一个启动项可疑:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun][Microsoft Corporation]
印象中C:WINDOWSsystem32目录下没wdm.exe这么个程序埃于是向提问者索要样本。
//本文来自电脑软硬件应用网www.45it.com
收到样本后看了一下其版本信息(图1),第一眼并没看出什么异样。
screen.width*0.4) {this.resized=true; this.width=screen.width*0.4; this.alt='打开新窗口浏览';}" border=0 resized="true"> |
找个真正的微软程序,打开版本信息比较一下(图2)——马脚露出来了!
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击这儿打开新的窗口';}" resized="true"> |
在桌面打开运行后,这个wdm.exe释放下列文件:
C:WINDOWSsystem32wdm.exe
C:WINDOWSsystem32driversksld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
添加注册表项:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
[Microsoft Corporation]
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
<> []
重启系统后发现ksld.sys通过wdm.exe加载;ADSL虚拟拨号程序自动运行。此后,用户每进行一步操作,进程列表中增加一个iexplore.exe进程(尽管此时并未打开IE浏览器)。用SSM禁止iexplore.exe运行,无效!(图3)。
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击这儿打开新的窗口';}" resized="true"> |
查看MD5发现:wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在!(图4)。
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击这儿打开新的窗口';}" resized="true"> |
杀毒流程:
1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。
2、重启。删除上述文件。清理注册表。
3、卸载QQ重新安装。 |
电脑软硬件应用网站长友情提醒:如果先关闭SSM,运行这只木马,再运行SSM时——报错:SSM的驱动没有加载。重启系统,SM才能正常运行。看来,这马还有点儿意思!
本文地址:
http://www.45fan.com/dnjc/17559.html