一个比较狡猾的病毒my_70530.exe

互联网 | 编辑: 黄蔚 2008-04-18 09:00:00转载 一键看全文

主动防御的查杀流程

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支下添加两个驱动项,驱动项名称与上述两个.sys的文件名相同。

中招后,用IceSword查看进程列表————无异常进程。

借助瑞星2008主动防御的查杀流程:

1、在“应用程序访问控制”中添加规则,禁止任何程序访问这三个病毒文件。

2、在“程序启动控制”中添加规则,禁止任何程序启动这三个病毒程序。

3、重启。用IceSword删除病毒这四个文件及其驱动项。病毒添加的驱动项只能删除其中一个,另外一个删不掉。再次重启。

4、重启后系统报错(图5)。不理它(这是病毒dll文件被删除引起的)。

5、用IceSword删除剩余的病毒驱动项(图6)。

此毒的查杀难点在于:

1、病毒文件名随即变化。中招后,到论坛求助时务必提供SRENG等工具扫的完整日志。有经验的朋友,可以在SRENG或autoruns日志中发现异常驱动项。

2、那个病毒dll貌似通过rundll32间接加载(中毒后重启系统,我用SSM观察到:rundll32.exe试图改写explorer.exe内存)。注册表都搜遍了,搜不到与病毒dll有关的加载项。

因此,找到并灭掉这个病毒dll是手工杀毒的核心环节。如果没有HIPS一类的安全工具监控,这个病毒dll难以确定。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 2 页< 上一页12
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑