病毒提醒

张林 发布于 2010/11/28 18:12
阅读 272
收藏 2

今天手贱,下了个QQ监听工具,由于俺用winxp,属于裸奔,运行了一下,文件自删除(估计是通过映像技术),然后就没动静了,俺第一个反应——中毒了!

好久没有彻查计算机安全了,于是打算今天彻底严打!

重启机器,检查进程,没发现可疑进程,奇怪了,难道蒸发了?

检查IE插件,没有发现异常,都是正常插件——以前有一个案例是注册在IE插件的病毒

看了下ProcessMonitor,乱七八糟的看不出眉目。regdllview一大堆注册的dll也没看出来

于是请出尚方宝剑IceSword,查看进程,好着呢,看服务,咦,一个没见过的服务spoole,这是什么?看描述是:Windows系统内存防溢出应用程序,正常!看了下面一个我很清楚的服务spooler的打印服务,这个服务?我以前怎么好像没见过,呀,看看对应文件路径是C:\Windows\EntMian.exe(这人英语肯定不咋地),我要检查一下文件签名,如果没微软公司签名,那就是重点嫌疑对象了。到了该目录,由于我的所有文件夹打开了隐藏属性,直接看到它,呀,连图标都没变,更谈不上签名了,想都不用想,也不用报批了,直接拉出去毙了!

然后收拾余部,在注册表内将该服务删除。又检查了一遍服务,发现一个SRAP的服务,描述为:Data Online transation Processing Module,以前没见过,看了下路径c:\progrm files\Fthuz\Ikthd.exe 我就没见过哪个软件把文件夹起名Fthuz这么没水平。肯定是他了,八成可以毙了,于是找路径,原来早都没了。既然已经死了,把服务给清了,OK。

又看了一遍服务,没发现异常,严打结束,收工,耗时20分钟,效率比杀毒软件差远了。

所以提醒下大家,现在有些病毒再也不是以前的老一套,放在自启动里了,如果感觉机器有不对劲的地方,可以看看IE插件和服务,另外流氓软件的各种dll,如果注册进系统,也会放慢系统,别以为进程少就没事,直接regsvr32 /d 给清了。

另外,提醒下,可以到你目录下看看有没有这些文件,如果有,按我的方法处理了。

加载中
0
Lunar_Lin
Lunar_Lin

和我手杀的过程一样,我现在基本手杀. 杀软对我来说的唯一好处就是可以修复被感染的exe. 而手杀时,发现时间可疑的exe只能delete掉,重新安装这个软件了.

  查自启动,查服务,查进程中线程状况和dll模块状况.  对系统常见文件和模块的熟悉. 虽然时间花得久, 但相比杀软 我觉得轻松.

  裸奔了近4~5年.

0
Midnight
Midnight

手法差不多,  这年头 杀软=拖油瓶, 绝对没错!

0
帅气的鱼
帅气的鱼

手杀 太强了 呵呵

0
ddatsh
ddatsh

xuetr+malware defender 用户表示毫无压力

试软件的话有强大的vmware和sandboxie这类工具

很长时间没有受到病毒的干扰了

返回顶部
顶部