现用一个实例介绍如何手动删除病毒IGM.exe的过程和思想:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

便于对比,首先记住没有中病毒时计算机中运行的正常进程如下图所示:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

然后使计算机感染IMG.exe病毒,此时可以发现计算机运行缓慢,对于网络版杀软的实时监控关闭,单机版杀软直接关闭,停止运行,防火墙出现异常情况,程序报错关闭,系统时间停止走动,arp解析出错,虽然ICMP有回响,但不能访问Internet,部分PE文件不能执行。再次重新启动计算机,发现系统进程表如下图所示出现***群,进程如下所示:

对于进程Kvsc3.exe,MsiMMs32.exe,Cmdbcs.exe,AVPSrvexE.exe,MsPrint32D.exe,WmFrom.exe,NVDispDrv.exe,DbgHIp32.exe再加上IGM.exe和Swchost.exe等构成了这个病毒的主要特征和它的实现的功能以及IGM.exe的守护程序等。

现就对IGM.exe进行扫描确定该程序是否变形即加壳使用前面介绍的language2000可以看到如下所示

在上图上我们可以看到压缩/加密哪一栏程序中指示是用的ASPack进行变形的,采用专门的脱壳工具AspackDie V1.14可以对其进行解密操作或是叫脱壳,然后我们利用PE explorer或是Ollydbg v1.10对IGM.exe进行反编译可以得到如下信息:

0012EEAC   UNICODE "avzxemn.dll"

77E15608   UNICODE "AppInit_DLLs"

0012F634   UNICODE "\Image File Execution Options\user32.dll"

就针对上诉的几个地址对应的文件名我们在%systemroot%\system32在可以找到avzxemn.dll这个文件,在通过对avzxemn.dll文件的反编译可以发现如下信息:

L00404D70:

 SSZ00404D74_avzxemn_dll:

       db  'avzxemn.dll',0

 SSZ00404D80_avzxein_dll:

       db  'avzxein.dll',0

 SSZ00404D8C_avzxetm_dll:

       db  'avzxetm.dll',0

这样就可以找到avzxemn.dll、avzxein.dll、avzxetm.dll其中一个或几个动态连结库文件,这些动态连结库文件是病毒生成的守护进程文件,并且通过AppInit_DLLs直接插入到winlogon.exe进程中,由于是驱动级进程,该程序拥有ring0的权限,由此可以禁止或kill掉杀毒软件实时监控进程,使自生免杀。我们这时需要先结束IGM.exe的进程,然后在到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\windows 项下把AppInit_DLLs键改成空即可。然后在安全模式下或者windows恢复控制台下将其删除就可以了。同时根据经验将病毒文件的创建日期显示并观察,发现在该目录下还有一些动态库是同时生成,即avwgemn.dll、avwgein.dll、avwgetm.dll这几个,然后再对avwgemn.dll进行反编译发现大量信息,现只给出以下部分:

L00404D70:

 SSZ00404B00_avwgemn_dll:

       db  'avwgemn.dll',0

 SSZ00404B0C_avwgein_dll:

       db  'avwgein.dll',0

 SSZ00404B18_avwgetm_dll:

       db  'avwgetm.dll',0

L004046BF:

SSZ004046D4_SeDebugPrivilege:

       db  'SeDebugPrivilege',0

       Align   4

SSZ004046E8_TQAT_exe:

       db  'TQAT.exe',0

       Align   4

 SUB_L004046F4:

       push    ebx

       add esp,FFFFFE00h

       mov ebx,esp

       push    SSZ0040480C_CLSID_

       push    ebx

       call    jmp_kernel32.dll!lstrcpyA

       push    L00407028

       push    ebx

       call    jmp_kernel32.dll!lstrcatA

       push    SSZ00404814__InprocServer32

       push    ebx

       call    jmp_kernel32.dll!lstrcatA

就上诉的情况和前一个动态库很相似,同时也会在注册表中的下列位置插入一个键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里面有关于avwgemn.dll的定义和启动,并在任务管理器中表现为在explorer.exe进程中有avwgemn.dll这个线程插入,因此可以断定该文件也是病毒,该动态库还会生成两个可执行文件TQAT.exe ElementClient.exe经过百度查询发现是“网游盗贼14452 ***程序,在安全模式下删除即可。

到此IGM.exe病毒宿主程序就清除掉了,就残余的病毒Kvsc3.exe,MsiMMs32.exe,Cmdbcs.exe,AVPSrvexE.exe,MsPrint32D.exe,WmFrom.exe,NVDispDrv.exe,DbgHIp32.exe,Swchost.exe都是用来配合TQAT.exe进行盗号使用的,在计算机启动时运行实现自身功能后全部销毁自身窗口,因此主要精力就放在了阻止上诉程序运行,使用msconfig工具在启动选项卡里将其禁用就可以实现上诉程序的自启动了,然后在安全模式下将其删除就可以了,再使用SREng(System Repair Engineer)系统修复助手如下图所示:

对操作系统进行一次全面的修复即可。