作者: 李铁军, 出处:赛迪网, 责任编辑: 韩博颖,
2008-04-16 09:01
新装的系统,还没来得及装杀毒软件,发现系统异常时,再装已经来不及了。装谁谁死,双击,安装包不是被删除,就是没反应,改名也无济于事,安全模式进去就蓝屏。
现象:新装的系统,还没来得及装杀毒软件,发现系统异常时,再装已经来不及了。装谁谁死,双击,安装包不是被删除,就是没反应,改名也无济于事,安全模式进去就蓝屏。
解决过程:
尝试传了个磁碟机专杀和Auto专杀,眼瞅着执行就被删除了。
传了PAPA的检测工具,得到个LOG,发现以下可疑文件。
| c:\windows\system32\lqvafk.dll c:\windows\system32\ttnnbnnb1049.dll c:\windows\system32\ttezzezz1046.dllt c:\windows\system32\xfgnxfn.dll c:\windows\system32\sperls.dll c:\windows\system32\drivers\100133.sys c:\windows\system32\drivers\msosmsfpfis64.sys MSDOS.bat(各分区根目录下的) |
procxp正常,尝试将上面列的几个DLL终止,速度实在是慢的无法操作。
传过去一个批处理,先把样本备份再说。(后检查了传过来的样本,有一个新木马,其它全部可以查杀)
后尝试将两个驱动改名:
| c:\windows\system32\drivers\100133.sys c:\windows\system32\drivers\msosmsfpfis64.sys |
百度了一下,这个msdos.bat,是个感染型病毒,会下载较多木马。感染型病毒,在不能进入带命令行的安全模式或使用WINPE的情况下,很难彻底解决。并且,也没办法远程操作。从效率考虑,建议对方重装。重装后,注意开Windows防火墙的情况下,立即下载毒霸,升级到最新,防止再中毒。
再次说明防毒很简单,杀毒很麻烦,希望大家都不要中招,防患于未然,比中招救急强多了。
最新评论
论坛查看更多精彩评论">还没有评论,查看其他精彩评论
