灵活操作手工杀毒下载者

我的生活的家

现在网上初夏的病毒3g卡无线路由器下载器多比较难杀。难3G在那堆dll动态插入3g无线路由器哪个好应用程序进程。 
3g无线路由器哪个好共同点】： 

[url=http://www.tianya.cn/techforum/content/188/1/605944.shtml]3g无线路由器哪个好[/url点】：

1、病毒本身运行后，在system32\drivers\目录下释放一个驱动ntdapi.sys。此sys加载后，即刻删除自身。

2、病毒本身在 windows目录下释放一个随机字母名称的.exe（字母数目不定）。此.exe是个下载器。下载一堆病毒到中招系统中，然后，删除自身。

3、在注册表下列分支添加加载项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

具体例子见图6

AppInit_DLLs指向的病毒dll有时可以插入winlogon.exe等系统核心进程。

4、监视插入应用程序进程的病毒模块dll。一旦这些病毒dll被用户从beicha进程中清楚掉，病毒即刻调用系统程序恢复之。具体调用那些系统程序，可能随不同的变种而异。

昨天在卡饭论坛见到有人提到一个这类病毒，叫什么google.exe。下载运行了一下。中了。

如果用户通过某种操作卸载了beicha应用程序进程中的病毒dll，此毒即刻通过drwtsn32.exe恢复被用户清除的插入到应用程序进程中的病毒模块（如：插入到explorer.exe进程中的一堆病毒dll）。即使你结束掉explorer.exe进程，再次开启，结果还是一样－－－－－进程中插了一堆病毒dll。

【针对此毒的查杀方法】：

1、将system32、dllcache目录下的drwtsn32.exe和drwatson.exe打包存放，然后，删除上述目录下的drwtsn32.exe和drwatson.exe（图1）。

  



'600')this.height='600';" border=0>

2、用IceSword禁止进程创建；结束所有可以结束的进程（图2）。



'600')this.height='600';" border=0>

3、一一检查不能结束的那些进程中是否有病毒模块，若有，则强制卸除之。

4、清理完所有进程后，结束exploer.exe进程（此进程中beicha的病毒模块太多，懒得一一强制卸除）。

5、取消IceSword的“禁止进程创建”。

6、三键调出任务管理器，重新开启explorer.exe（图3）。

  



'600')this.height='600';" border=0>

7、检查一下explorer.exe进程是否干净。干净的（图4）！

  



'600')this.height='600';" border=0>

8、根据中毒日期（今天）全盘搜索今天创建的文件（包括隐藏文件），找出病毒文件，痛宰（图5）。

  



'600')this.height='600';" border=0>

9、收拾注册表（删除绿色高亮显示的那些项，图6）。

  



'600')this.height='600';" border=0>

10、将drwtsn32.exe和drwatson.exe解包归位。搞掂！

注：这类毒的手工杀毒难点在于那堆dll。那堆病毒dll可以通过SRENG等日志工具发现