《清除使用映象劫持技术的病毒》由会员分享,可在线阅读,更多相关《清除使用映象劫持技术的病毒(1页珍藏版)》请在金锄头文库上搜索。
1、清除使用映象劫持技术的病毒作者:佚名 安全中心來源:不详 点击数:28更新时间:2007-12-4听dodo说,发现一 MM的电脑好象中了终结者,用毒霸的专杀修复后,毒霸仍不 能启动。要來QQ,远程连接过去看个究竟。网速限制,整了一个小时,最终搞定,写 总结文章比修复简单多了。1. 给MM传过去需要的工具软件:AV终结者专杀,autoruns,冰刃,process expl orero2. 分别运行这四个工具,只有专杀可以启动,其它工具未能启动。尝试进入ka,20 07 H录,发现毒新主程序,清理专家均无法启动。auloruns和Process Explorer改名后 可以运行。冰刃改名后,打
2、开即被关闭,毒霸和清理专家也一样。3. 在 autoruns 的 explorer 页发现 2 个 DLL, a1d29050.dll 和 msacn.dll(使用 autoruns 时,一定要选中隐藏MS签名认证的项不然要累死)。将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行, 在进程explorer +查找相关线程。找到4个正在运行的线程,立即将病锋线程暂停。4这时己经发现冰刃可以正常使用了,所以就选择用process Explorer杀掉了相关线程。5. 继续使用autoruns查看服务,找到3个未知服务。不过,事后证实这三个服务与毒霸不能运行
3、无关,是毒霸可杀的木马程序。6. 接下來,进入毒霸目录,双击uplive.exe升级。7. 升级完成后,双击kav32.exe执行病毒扫描。结束发现了 10多个已知木马。当然,这几个令毒箱,冰刃无法运行的DLL,是新病毒。为确保清除成功,建议MM扫描完毕后再和AV终结者修复一下注册表,因为这个病毒让隐藏文件无法正常显示,这个AV终结者修复工 具,刚好可以解决这个问题。补充一点,右皱用autoruns的过程中,发现病毒已经删除了毒霸注册的服务,因此电脑如果垂启的话,会发现实时监控不能被加载。总结:类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马,木案例就在解决掉新病毒后, 升级毒緡查到10多个盗号木马。预计在一段时间内,采用这种乎法的盗号集团将I分狛獗。请网友参考AV终结者的综合方案采取防御措施。
