【3AST交流】使用清理专家修复假冒的“在线修复kaspersky”
使用清理专家修复假冒的“在线修复kaspersky”使用清理专家修复假冒的“在线修复kaspersky”
使用清理专家清除假冒的“在线修复kaspersky”
周末见识了一个超BT的木马下载器,这个下载器修改的程序启动加载项达数10个之多,从这个帖子的日志显示,加载项甚至达到上百个之多
请参考:[url=http://bbs.duba.net/thread-21946982-1-1.html]http://bbs.duba.net/thread-21946982-1-1.html[/url]
在得到这个病毒的样本之后,我们发现这个病毒每重启一次系统就会在系统中添加若干个启动加载项和服务加载项,当用户觉得系统异常,重启电脑之后,会导致病毒添加的项越来越多,系统会变得非常缓慢,并且会频繁弹出网页广告。
病毒每次重启,生成的程序文件名都是随机的,这样就导致某些采用文件名识别恶意软件的工具毫无用处。这些木马文件有明显共同点,很容易识别。
这是其中某一个文件的属性特征,隐藏、系统属性,图标都是IE浏览器,文件的大小都是60KB,
[img]http://bbs.duba.net/attachments/month_0807/20080707_fc4f002f6cf5519d77d1ky1meXmajdbJ.png[/img]
这是在windows目录下发现的一批下载器,都是隐藏、系统属性,图标和IE浏览器一样,文件的大小都是60KB,需要修改文件夹选项才可以查看。
[img]http://bbs.duba.net/attachments/month_0807/20080707_1593dcc1cdc1fcf81c476mUvtGQuHr2C.png[/img]
运行金山清理专家,百宝箱中的进程管理器,可以看到很多个随机文件名的exe文件
[img]http://bbs.duba.net/attachments/month_0807/20080707_8cfd8ba8eab516efaefb0l85atHc21dC.png[/img]
一个个手动定位文件位置是很费力的,我们可以充分使用windows的搜索功能,注意修改搜索选项。
我们搜索windows 目录下大小为60KB,创建时间和我们观察的其中一样相同日期EXE文件,就可以把这一类木马下载器找到。
[img]http://bbs.duba.net/attachments/month_0807/20080707_75e557f0da19188a9185oqVSEo5yuSBj.png[/img]
然后在搜索结果的窗口中按ctrl+A全部选中这些EXE,然后再打开清理专家百宝箱中的文件粉碎器,将这些EXE全部拖放到文件粉碎器的窗口(如果窗口相互覆盖,只需要将搜索结果的窗口取消最大化,调整大小,使桌面上能同时显示两个窗口,再完成文件拖放。)
[img]http://bbs.duba.net/attachments/month_0807/20080707_260a7c5c4f086770b763f2lHVt1fO2lm.png[/img]
将这些EXE全部彻底删除,先不忙着立即重启系统,再使用全面诊断,启动项管理,检查会发现很多残留的加载项,依次选中这些加载项,再点右键,在弹出的菜单中选择修复。
[img]http://bbs.duba.net/attachments/month_0807/20080707_5e1b33254ea191de3610W3hiiNfuOpke.png[/img]
同样的方法,切换到全面诊断,将残留项全部选中,再单击下面的“修复选中项”
[img]http://bbs.duba.net/attachments/month_0807/20080707_4895b45e03d5b60681bdPgvbR1TdgA5p.png[/img]
接下来切换到百宝箱中的系统修复,发现安全模式已经被病毒破坏,我们只需要选择修复就可以。
[img]http://bbs.duba.net/attachments/month_0807/20080707_599b95ed81f4a55ec05aawzJ2FlNKoJx.png[/img]
最后,我们重启电脑,再把上述检查重复一遍,你会发现病毒的所有修改都被修复完成。
但毒霸还是不能启动,这是病毒删除了毒霸的启动加载项。
我们只需要执行一个简单的修复动作就可以让毒霸完全恢复正常。
单击开始,运行,输入cmd,打开命令行窗口。
依次键入cd pro ,按tab键,进入program file文件夹。依次键入king 按tab键,再键入k,按tab键,进入毒霸的安装路径“Kingsoft Internet Security 2008”文件夹,执行setupwiz -i,启动毒霸修复程序,程序会尝试修复所有组件的重新注册。
再运行毒霸安装目录下的uplive.exe,将毒
霸升级到最新版本,对windows目录进行检查。其实查不查都不要紧了,我的经验是实时监控不拦截,可以不必去查毒。
页:
[1]