专家实战录：遭遇狡猾病毒不断改名逃避查杀

L_,K$L$HV4`3{0专家实战录：遭遇狡猾病毒不断改名逃避查杀

W(n1J Ej{As4K0【赛迪网-IT技术报道】【编者按：首先非常感谢铁军同志！朋友的电脑出了问题，Mcafee总是提示有病毒清除不了，公司不方便远程操作，只好找到铁军帮忙。可惜最后两个文件远程操作无法删除，手头还没有WinPE盘。看来为了应对越来越狡猾的病毒，准备一个WinPE已经势在必行。】中国数据恢复技术联盟Xz
_t5g4e
下午李磊给我一个LOG，看了看发现几个可疑文件
t;a$iW!vq{l
_:wJJ0c:\windows\system32\mssrv32.exe中国数据恢复技术联盟;p C}$G ^c0]
C:\WINDOWS\system32\tmp.exe
-U/g*m
B&D2B6y0C:\WINDOWS\system32\com\laaegiyboccw.dll
zgm%v]ROWK0c:\windows\system32\usmt\wvrqtmsth.dll中国数据恢复技术联盟.E+S
D4\4hrz Y
C:\WINDOWS\system32\winini.exe中国数据恢复技术联盟X2kF,{8qNl
c:\windows\system32\Drivers\Tjm15.sys中国数据恢复技术联盟A1BXjoY*b
x:a
C:\WINDOWS\system32\gtwkvegqpm.dll中国数据恢复技术联盟!v6L,b'o_ND E#kB
Q
C:\WINDOWS\system32\wsxafnkqsdevx.dll
GrtA y3e!e9y @T0C:\WINDOWS\system32\oegqglvyni.dll
2?)l(|,^v0先写个批处理尝试拷贝样本，从传过来的文件看，少了tjm15.sys。中国数据恢复技术联盟o2he ?c
远程连接过去，装上清理专家，发现6个恶意软件。
2p*g-U P XL%y0清除这几个之后重启，发现有两个东东死赖着不走。中国数据恢复技术联盟:| y$N-~6Eb7s)q;G
c:\windows\system32\wlctrl32.dll
@BZ y UI&_o_6Y!H0c:\windows\system32\drivers\khk41.sys
OV5d??0尝试用文件粉碎器删除，重启又来了，粉碎后立即拔电源也没搞定。中国数据恢复技术联盟z)lh9\_t1^3A
看来只有一条路，WinPE引导后删除，这已经没办法远程操作。中国数据恢复技术联盟|8o5s[4D{|,V
这个sys文件每次重启会改名。

&c]!r#o/oPy4r0
r1~Ya p4\Q0