专家实战录：遭遇狡猾病毒不断改名逃避查杀

• 逃避
• 不断
• 病毒
• 实战
• 遭遇
• 专家
• system32
• WIN

下午李磊给我一个LOG，看了看发现几个可疑文件

c:\windows\system32\mssrv32.exe
C:\WINDOWS\system32\tmp.exe
C:\WINDOWS\system32\com\laaegiyboccw.dll
c:\windows\system32\usmt\wvrqtmsth.dll
C:\WINDOWS\system32\winini.exe
c:\windows\system32\Drivers\Tjm15.sys
C:\WINDOWS\system32\gtwkvegqpm.dll
C:\WINDOWS\system32\wsxafnkqsdevx.dll
C:\WINDOWS\system32\oegqglvyni.dll

先写个批处理尝试拷贝样本，从传过来的文件看，少了tjm15.sys。

远程连接过去，装上清理专家，发现6个恶意软件。

清除这几个之后重启，发现有两个东东死赖着不走。

c:\windows\system32\wlctrl32.dll 
c:\windows\system32\drivers\khk41.sys

尝试用文件粉碎器删除，重启又来了，粉碎后立即拔电源也没搞定。

看来只有一条路，WinPE引导后删除，这已经没办法远程操作。

这个sys文件每次重启会改名。