标题:
微点没有杀掉的一个病毒
[打印本页]
作者:
blueiceqzh
时间:
2007-4-7 21:34
标题:
微点没有杀掉的一个病毒
现 象: 用亲戚的电脑上网,偶然发现机器的norton8出了问题,扫描引擎都启动不了,不过倒是一启动文件自动防护就报警说发现病毒,成功隔离,但删除了下次启动还有。基本肯定中毒了。从norton的提示网页看好像是盗游戏帐号的。
解决之路:先删除norton8,下了各norton10装上,升级,杀掉一部分,可是还是一开机就有。特别是什么 1.exe, 2.exe, 4.exe, 6.exe。接着下载一个微点,升级,启动后又干掉一堆木马,病毒。norton10没查出来的。具体忘了。但是,仍然每次开机都会有微点拦截的通知,就是 1.exe, 2.exe, 4.exe, 6.exe。这几个每次开机都会新生成。微点拦截删除也还有。
于是,打开微点,看日志,发现这几个文件居然是winlogon.exe创建的。晕倒!看来病毒是用了进程注入,模块注入到这个登录程序中了。于是通过微点看winlogon.exe的相关模块,发现一个msgcom.dll的被标了蓝色。估计就是他了,但是微点没有提供删除模块的功能。于是启动到安区模式下,那种命令行窗口形式的,还是不能删那个msgcom.dll,因为进这种安全模式也是要登录的!
所以说,在登录后这个病毒就运行了。
想到有一类软件,可以卸载模块,冰刃,狙剑。于是用后者查找winlogon.exe的相关模块,一开始想卸载再自己手工删除满足一下,可是一卸载就重启!然后还是有毒。没办法,就直接用了卸载并删除!总算搞定。
另外:发现微点也在winlogon.exe里写了模块。另外很多系统启动程序里都有,可惜当时没截图。
由于msgcom.dll已经删除,所以没办法提供给微点测试了。
我觉得微点删不掉他的原因主要是因为它是随winlogon.exe一起启动的。
作者:
曙光
时间:
2007-4-7 21:39
谢谢楼主对微点的支持,请问你的机器是什么操作系统的?微点是什么版本的?
你所说的问题,我们会分析一下的!
作者:
blueiceqzh
时间:
2007-4-7 21:42
OS是WINXP,SP2 。因为是别人的电脑,所以用完微点就卸载了,没有办法截图,抱歉。
微点是4.5号从官方网站下载的版本,然后注册升级成功到新版本了。
作者:
干虾米哟
时间:
2007-4-8 07:14
我的电脑以前也是,微点杀了又冒出来……还是手动删除的呢……
作者:
苹果小柚子
时间:
2007-4-8 15:03
要是先装微点就不会出现你这情况了~~~
作者:
linovo
时间:
2007-4-8 17:35
Quote:
Originally posted by
blueiceqzh
但是微点没有提供删除模块的功能
强烈建议微点增加冰刃的杀线程和进程模块卸载功能。
今天电脑中了一个恶意软件(已发给微点了),该恶意软件会在系统的Program Files文件夹下创建一个名字叫safe360的文件夹,文件夹里面有几个动态连接库,此恶意软件挺狡猾,把几个线程象楼主所说的病毒那样插入到系统进程rundl32.exe里,非常隐蔽,并且不断检查自己的启动项有没有被删掉,若删掉又重建一个。safe360文件夹我用冰刃删了几次删不了,推断可能有进程已经加载了,查看进程时觉得这个rundl32.exe有可疑,因为此进程不是系统常用的核心进程,用冰刃查看它的模块果然给插进了。目前的微点虽然有模块查看功能,但很遗憾没有卸载功能,只好请出冰刃来杀了
[
Last edited by linovo on 2007-4-8 at 17:39
]
附件 1:
未命名.JPG
(2007-4-8 17:36, 121.1 K,下载次数: 40)
作者:
Legend
时间:
2007-4-8 17:49
谢谢您提的建议以及相关信息,我们会认真考虑的。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
未命名.JPG (2007-4-8 17:36, 121.1 K,下载次数: 40)
