网页木马

mywow.dll


技术分析
这是一个WOW木马，文件名和启动项看上去会让人以为它是WOW的游戏程序，运行后复制自身到系统目录%System%\Launcher.exe，释放%System%\mywow.dll注入进程，创建启动项：


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe"



清除步骤
1. 删除木马的启动项：


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wow"="%System%\Launcher.exe"


2. 重新启动计算机
3. 安全模式下删除木马文件：
%System%\Launcher.exe
%System%\mywow.dll

===============================================


木马来源：未知
如何判断：
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe
发现以上文件者即中毒

大部分杀毒软件目前无法查杀，可找有经验的人手工查杀，注意修改密码.

Ctrl+Alt+Del,中止msime.exe

运行regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}项

HKEY_CLASSES_ROOT\CLSID\{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}
删除


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit项目
默认应该是C:\WINDOWS\system32\userinit.exe,
删除后面的C:\WINDOWS\system32\explore.exe,C:\WINDOWS\system32\Launcher.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}

重新启动计算机,删除
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe

木马查杀完毕。