昨天在单位遭遇威金木马病毒,可能是变种,手动杀之

    症状是任务管理器里有logon_1.exe或者rundl132.exe。简单分析后,发现所有的exe几乎都被感染,每个目录下有个_desktop.ini文件用于记录日期。explorer.exe进程中有dll.dll动态库。c:/windows/system32/drivers目录下有svchost.exe在开机时运行。

    杀毒比较简单:

    1.断了网线
    2.安全模式启动
    3.删除c:/windows/logon_1.exe,c:/windows/rundl132.exe,c:/windows/dll.dll
    4.删除c:/windows/system32/drivers/svchost.exe
    5.删除注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon项的Userinit字键中的c:/windows/system32/drivers/svchost.exe
    6.删除注册表中HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows项的load子键中 的c:/windows/system32/drivers/svchost.exe
    7.得写个程序还原被感染的exe文件。具体做法就是把exe文件前面的病毒体去掉,长度忘了,就是logon_1.exe的大小,大概是0x84xA字节,反正看到后面接着就是'MZ'就对了。
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值