 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 跟alman病毒战斗 | |||||
作者:佚名 文章来源:网络 点击数: 更新时间:2007-7-13  |
|||||
|
卡巴斯基、symantec、nod32可以识别,斯基经过反复查杀可以清理掉,不过exe就完全损失了,需要重新安装。nod可以隔离,但是清理效果很不理想,exe也是无法继续使用了。symantec能够清理病毒,至于exe是否还能正常使用没有具体去试,忽略而过。 行为:创建linkinfo.dll于windows目录 apphelps.dll于windows\apppatch目录 riodrvs.sys于windows\system32\drivers 创建riodrvs服务 注入explorer.exe 特点:也是这个病毒最与众不同之处,是本人唯一见过的奇怪现象,用了很多工具,只能看到apphelps.dll这一个文件,另外两个不但文件看不到,连进程都看不到,但是杀毒软件会发现它们。 相关工具:Wsyscheck sreng2 Pocket KillBox【剑盟推荐用xdelbox,可惜俺们硬盘全部是ntfs格式,不能用它】 ProcessExplorer【冰刃无法运行,说个题外话,冰刃自身保护太脆弱了,太多的病毒让它无法运行,而其他的工具比它坚挺的多了】 剑盟AlManFix nod32 相关过程:全部在断网中进行 1、进入安全模式,用sreng修复若干入口点错误,并运行一次自动修复; 用killbox强行删除apphelps.dll,禁止创建; 删除riodrvs服务; 安装nod32,重启进入正常模式,扫描并隔离染毒exe; 用剑盟AlManFix修复染毒exe 此为第一次试验过程,隔了一段时间,无效,nod再次提示原染毒exe感染。 2、再次观察,apphelps.dll不再创建,killbox生效; Wsyscheck结束所有红色进程,并观察winlogon和explorer、svchost进程模块,终于发现linkinfo和 riodrvs.sys,创建安全环境,删除之; 原来删除的riodrvs服务又还原了,再次删除该服务; 重启进入正常模式,再次用nod扫描,并用剑盟工具修复exe 此次较为理想,不再出现提示,不过exe修复工具或许是因为针对的是Virus.Win32.Alman.a,对于我中的b基本没作用,染毒的exe仍然无法修复,目前只能重装了,好在只是那几个固定的exe染毒,问题不大。 3、自己处理的同时观察旁边同事用卡巴斯基7.0清理的过程,司机全盘扫描了三次,才完全清除了该病毒,但是所有染毒文件全部完蛋。 |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
