发现两木马:2gjbhdps.sys和gfsuozmh.dll
近日,一没有装还原工具的工作机被学生安装其他的软件,结果中了诸多的恶意软件,还有两木马:2gjbhdps.sys和gfsuozmh.dll。
安装的卡巴斯基5.0杀毒软件一直提示是特洛伊木马,但是却总是删除失败,也隔离失败。所安装的卡巴斯基是已经更新到最新的病毒库,但仍然未能清除。两木马的位置分别为:C:\windows\system32\drivers\2gjbhdps.sys和C:\windows\system32\gfsuozmh.dll。
刚开始怀疑是灰鸽子,进入安全模式后,手工模式也仍然无法删除两木马。提示有程序正在调用该文件,运用了最新版本最新病毒库的360安全卫士扫描流行木马,也没发现任何的问题,但能查看到gfsuozmh.dll是由explorer.exe调用的。这让我难以费解。会不会又是卡巴斯基的误报?
由于种种迹象仍然无法找出是啥地方出问题了,而那两个文件在其他电脑上并没有,所以可见并不是系统文件,却不能删除。可见一定是有问题的,不然卡巴斯基也不会一直这样提示发现特洛伊木马。
由此想到了问Google大师和baidu大师。但令我无奈的是两个搜索引擎都不见有任何的文章记录,连一个相关的字眼都没能找到。雅虎易搜也是没有发现。真是太神奇了。同时也让我对Google、百度、卡巴斯基之间存在着一定的怀疑。
使用了传说中的AVG,还有木马克星、木马杀客,都找不到那两个木马。
而更绝的是,那两个文件在Windows系统下,是无法复制的。那台电脑有装ubuntu 6.10 edgy系统,本想进去用linux下删除的,却发现进去后,挂在的windows系统盘就算是root用户也是只有只读的权限。还好linux下,总算可以复制那两个文件。并且打包起来了。
把那个压缩包传到安装诺顿杀毒软件企业版的电脑上,一查,啥都没有。而把c盘共享到另外一台电脑用NOD32扫描,则只提示gfsuozmh.dll是木马,却无法删除。没发现另外一个木马。用F-Secure Anti-Virus扫描共享的盘那两个文件都被跳过(skip)了,扫描我打包的压缩包则两个都发现并咔嚓掉了。
到最后实在迫于无奈,想到最原始的办法,用纯DOS命令删除。由于安装的矮人dos工具箱识别不了NTFS盘,只好用NTFS DOS进去。
谢天谢地,最后终于使用DOS把那两个文件成功删除了。
2gjbhdps.sys和gfsuozmh.dll应该是比较新的特洛伊木马吧,否则怎么会搜索引擎里面没任何的记录呢?诺顿也没发现,难道。。。。。。
为方便各位的测验杀毒软件的功效,还是把这两个文件打包压缩上传吧。同时提醒要加强杀毒软件的更新。
发表评论