公司机器上种了这个病毒,经过一天的研究,基本掌握了该病毒的特性。楼上个位都是说用什么杀毒工具来杀,我觉得一方面现在好多杀毒工具根本就不能做到这一点,我也用了一些杀毒软件,根本就没用,这个是有原因的,因为该病毒会首先感染这些文件。下面我讲一下我对该病毒的理解,还有未完成的工作希望能够给有心人一定的启发,实在没有时间做这个了。
病毒可能的感染方式:
病毒首先可以感染你的iexplorer.exe,你会在c:/program files/internet explorer/plugins目录下发现几个sys文件,这些文件将会在系统启动的时候被加载。这个情况可能会有,就看你的中毒情况了。
局域网传播,多数因为你开了一些可写的共享目录。
病毒发作原理:
1、系统启动加载system的时候,会读取sys文件,这些被记在注册表中,你可以搜索注册表中,“.sys”注意找到并删除internet explorer目录下的sys文件。如window.sys,system3.sys等。
2、关闭机器上面的杀毒软件,感染explorer.exe,感染iexplorer.exe,感染你机器上的exe
文件。你机器上面的explorer.exe 将被修改。动态加载病毒程序:tdll.dll,dll.dll,ztdll.dll等。
3、生成形形色色的可执行病毒程序。如rundll132.exe,logo_1.exe,logo1_.exe,3y.exe等。
4、感染的exe文件比较可怕,一不小心执行一下,所有的病毒都将被启动复制。
手动杀毒方法介绍(不是很完全,可以清理系统目前运行的病毒,但是对于被修改的exe文件还没有做好,请有心人研究一下告诉大家。问题就是:将被感染的exe修复回原来)
1、准备工具:processxp(察看进程的小程序),复制一些正常的文件:explorer.exe,iexplorer.exe.
2、查找注册表,检查启动下.sys信息,删除可疑.sys文件(注意:有很多是操作系统的文件,操作者必须有一点这方面的判断力),主要是在c:/program files/internet explorer/plugins/目录下的.sys文件。另外删除启动时加载的logo1_.exe,rundl132.exe文件等以及一些键值(参考目前网上说的那些,上面有朋友这么讲过)。
3、使用processxp工具,查找当前运行进程中依赖dll.dll,tdll.dll,ztdll.dll文件的进程,并结束之。一般情况下会感染你的explorer.exe,你杀掉explorer.exe,然后用命令行方式copy正常的explorer.exe到c:/winnt下覆盖原有的explorer.exe(干净的文件可以从别的机器上拷贝过来),如果所有的都有这样的,那么先杀掉病毒进程:logo_1.exe,logo1_.exe,rundl132.exe,2sy.exe,1sy.exe等。然后再修改explorer.exe,注意:explorer.exe会不断地创建病毒程序。所以一定要动作快。
4、删除几个病毒程序:
c:/document and setting/登陆用户/windows目录:全部删除。
c:/winnt/下的dll.dll,tdll.dll,logo_1.exe,rundl132.exe,ztdll.dll
这样应该可以保证当前你运行的操作系统安全(主要表现在进程中没有logo_1.exe,rundl132.exe,查找当前进程的依赖dll中,没有一个是依赖dll.dll,tdll.dll,ztdll.dll,processxp有这个功能的),这个时候就剩下一个问题就是如何修复exe文件,因为你下次启动的时候可能有些服务被加载会运行exe文件,如果被感染的话,病毒又会重新占领你的机器。这部分我没有搞明白,希望上面的介绍能够起到抛砖引玉的作用,请有心人来解决它,联系上面的过程并做成一个程序发布一下,为大家服务。
另外被修改的exe文件应该是被加载了静态链接库,具体如何删除还是请大家帮忙吧!
297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
