东莞市汽车网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 246|回复: 0
打印 上一主题 下一主题

灵活操作手工杀毒下载者

[复制链接]
跳转到指定楼层
楼主
发表于 2012-5-31 13:39:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
现在网上初夏的病毒3g卡无线路由器下载器多比较难杀。难3G在那堆dll动态插入3g无线路由器哪个好应用程序进程。 
3g无线路由器哪个好共同点】: 

[url=http://www.tianya.cn/techforum/content/188/1/605944.shtml]3g无线路由器哪个好[/url点】:

1、病毒本身运行后,在system32\drivers\目录下释放一个驱动ntdapi.sys。此sys加载后,即刻删除自身。

2、病毒本身在 windows目录下释放一个随机字母名称的.exe(字母数目不定)。此.exe是个下载器。下载一堆病毒到中招系统中,然后,删除自身。

3、在注册表下列分支添加加载项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

具体例子见图6

AppInit_DLLs指向的病毒dll有时可以插入winlogon.exe等系统核心进程。

4、监视插入应用程序进程的病毒模块dll。一旦这些病毒dll被用户从beicha进程中清楚掉,病毒即刻调用系统程序恢复之。具体调用那些系统程序,可能随不同的变种而异。

昨天在卡饭论坛见到有人提到一个这类病毒,叫什么google.exe。下载运行了一下。中了。

如果用户通过某种操作卸载了beicha应用程序进程中的病毒dll,此毒即刻通过drwtsn32.exe恢复被用户清除的插入到应用程序进程中的病毒模块(如:插入到explorer.exe进程中的一堆病毒dll)。即使你结束掉explorer.exe进程,再次开启,结果还是一样-----进程中插了一堆病毒dll。

【针对此毒的查杀方法】:

1、将system32、dllcache目录下的drwtsn32.exe和drwatson.exe打包存放,然后,删除上述目录下的drwtsn32.exe和drwatson.exe(图1)。

  



'600')this.height='600';" border=0>

2、用IceSword禁止进程创建;结束所有可以结束的进程(图2)。



'600')this.height='600';" border=0>

3、一一检查不能结束的那些进程中是否有病毒模块,若有,则强制卸除之。

4、清理完所有进程后,结束exploer.exe进程(此进程中beicha的病毒模块太多,懒得一一强制卸除)。

5、取消IceSword的“禁止进程创建”。

6、三键调出任务管理器,重新开启explorer.exe(图3)。

  



'600')this.height='600';" border=0>

7、检查一下explorer.exe进程是否干净。干净的(图4)!

  



'600')this.height='600';" border=0>

8、根据中毒日期(今天)全盘搜索今天创建的文件(包括隐藏文件),找出病毒文件,痛宰(图5)。

  



'600')this.height='600';" border=0>

9、收拾注册表(删除绿色高亮显示的那些项,图6)。

  



'600')this.height='600';" border=0>

10、将drwtsn32.exe和drwatson.exe解包归位。搞掂!

注:这类毒的手工杀毒难点在于那堆dll。那堆病毒dll可以通过SRENG等日志工具发现
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 支持支持 反对反对
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|东莞市汽车网 ( 粤ICP备10001045号

GMT+8, 2024-11-16 07:07 , Processed in 0.131641 second(s), 20 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表