病毒之“缇比斯”变种cby(Trojan/Tibs.cby)的手动清除

 2007-11-29 10:16:18 来源：PC235.COM 您有问题？请联系我们

关 键 词：病毒之“缇比斯”变种cby(Trojan/Tibs.cby)的手动清除

同事最近玩武林外传，今天告诉我他价值100元的装备丢了，小号的一些垃圾装备也丢了，包裹里的钱1分不剩。问了一下他，帐号的密码是7位，不算太简单，如果用算号器之类的东西还是要算半天。

　　运行SREng(可到down.45it.com下载)查看服务、驱动中无异常，但在注册表--启动项目下发现有异常。http://www.pc235.com/

　　在注册表--启动项目下可见两个启动项目：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{409B610C-5E4D-4CF8-AD02-7AF80AE238DF}><> [N/A]
    <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><> [N/A]

　　操作删除时不成功，刷新后立刻被重建。

　　随之判定肯定是这两个异常项的问题。

　　用SRENG扫描日志，仔细观察，发现有两个文件插入到大量的EXE进程中，如Maxthon.exe,包括武林外传的elementclient.exe 。但没有插到QQ.exe中，估计怕被QQdoctor干掉。

    [C:\WINDOWS\system32\zxavast0.dll] [N/A, ]
    [C:\WINDOWS\system32\wlavast0.dll] [N/A, ]

　　查了一下资料，是这个东西: ，这个玩意2007年10月下旬首先被捕获，但遗憾的，由于是国产病毒，他装的卡巴斯基KAV7.0居然对其无任何反应。

　　手动清除方法介绍：

　　1、关闭系统还原。
　　2、用XDELBOX 1.6(可到down.45it.com下载)填入如下文件，勾选抑制生成和驱动安全删除选项。
　　C:\WINDOWS\system32\zxavast0.dll
　　C:\WINDOWS\system32\zxavast0.dll
　　C:\WINDOWS\system32\spooldr.sys
　　C:\WINDOWS\system32\dllcache\tcpip.sys

　　3、立刻重启计算机。重启完成后用SRENG删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{409B610C-5E4D-4CF8-AD02-7AF80AE238DF}><C:\WINDOWS\system32\wlavast0.dll> []
    <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><C:\WINDOWS\system32\zxavast0.dll> []

 

　　总结：
　　对于显示为 N/A属性的注册表--启动项目，应该引起高度的关注。显示文件名为空的项目，如同本案，恰恰是病毒的一个处理技巧，如果忽略之，则容易造成误判。需要仔细排查SRENG详细扫描日志。

　　最后强烈谴责一下木马病毒的作者，如此小tou小摸，无耻至极。

病毒之“缇比斯”变种cby(Trojan/Tibs.cby)的手动清除文章结束

更多内容请看 菜鸟学堂 > > 最新病毒专题

上一个文章： 消灭毒有奇招---全面清除计算的机病毒

下一个文章： 病毒之Death.exe病毒及变种分析查杀方法