comint32.sys，GD*I32.dll，bj*rl.dll，addr*help.dll木马群的删除

 

一个新木马群，值得一提的是该木马群开始利用驱动加载自身，更进一步增加了清除的难度。

具体分析和查杀方法如下：
1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%/system32/drivers/comint32.sys

2.comint32.sys加载后 会自动搜索GD*I32.dll，bj*rl.dll，addr*help.dll并加载，将其随机注入到一个进程中

上述的*可能为如下文字
ZHTU
MH
DH
FY
HX
MS
MOY
QJ
TL
TX
WM
GJ
WL
ZX
WD
QQHX
DTHX
CHD
CQ
EVE
JZ
BF
WMTW
QQSG
CQSJ
GE
PTYJ
XWTW
QQ
RXJH
SHQZ
DH3
DJ
LRTW
GZGD
ZH
YT2
GFSJ
JR
HXMF
XMJ
JTDD
ZF
DHY

也就是说该木马群的文件名可能为GDHTUI32.dll，GDMHI32.dll以此类推

这些GD*I32.dll，bj*rl*.dll，addr*help*.dll均为常见网络游戏盗号木马
可以盗取如下几种网络游戏的帐号和密码（包括但不限于）
刀剑
风云 雄霸天下
卓越之剑
完美世界
QQ幻想
机战ZeroOnline公测版
奇迹世界
QQ华夏
QQ三国
天龙八部
...

中毒后对应的sreng日志如下：

启动项目
注册表
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32/DRIVERS/comint32.sys><N/A>
[comint32 / comint32][Running/Manual Start]
</??/%systemroot%/system32/DRIVERS/comint32.sys><N/A>
==================================
正在运行的进程
[PID: 3376][C:/WINDOWS/system32/notepad.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:/WINDOWS/system32/GDZHTUI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDFYI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDQJI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDTLI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDWMI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDGJI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDWLI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDZXI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDWDI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDQQHXI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDDTHXI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDJZI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDQQSGI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDGEI32.dll] [N/A, ]
[C:/WINDOWS/system32/GDDJI32.dll] [N/A, ]

清除办法：
对付这个木马群 删除comint32.sys是关键，把他干掉了其他那些dll文件就只是行尸走肉了

下载sreng：http://download.kztechs.com/files/sreng2.zip
Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下

1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%/system32/DRIVERS/comint32.sys（%systemroot%为环境变量，表示你的系统文件夹安装位置，对于系统盘安装在C盘的XP用户即为C:/windows 以此类推）
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式

 2.重启后
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统盘
进入%systemroot%/system32文件夹
搜索GD*I32.dll，bj*rl.dll，addr*help.dll
（注意高级选项中勾选“搜索隐藏的文件和文件夹”）

找到后
删除所有GD*I32.dll，bj*rl.dll，addr*help.dll即可（注意gdi32.dll不要删除）

最后使用sreng删除
驱动程序%systemroot%/system32/DRIVERS/comint32.sys的注册表项目即可

注意：该木马群一般伴随其他木马而来，所以清除该木马群的同时一定要使用手工或者杀毒软件清除其他木马和病毒

作者：newcenturymoon