★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

能是解决“开机联网即下载病毒”型病毒的通用办法

[复制链接]
发表于 2010-11-19 20:52:38 | 显示全部楼层 |阅读模式
早上有同事求助,说是机器中了一种奇怪的病毒,每次开机nod32都会报告说发现新病毒,虽然每次都能清除,但是解决不了根本,让她很是烦躁。
  我听了之后大致明白是遇到难缠的东东了,估计是伪装成驱动进驻系统里,每次开机启动后该驱动就会自动指示系统连接到有病毒本体的网站去下载病毒,而下载下来的病毒每次都会被反病毒软件查杀,大致是这么回事吧。
  去同事的机器上先用icesword看看有没有可疑进程,一无所获;用恶意软件清除软件查杀了一遍木马,发现7个流氓软件,全部杀掉;然后用lsfix看看tcp/ip是否遭到劫持,果然发现异常,多出一个dll,清除掉之后再例行检查一下注册表,没有什么发现。最后用nod32全盘扫描一遍,也没有发现病毒。看样子没问题了,便重新启动一次,结果进入系统之后几秒钟,那个病毒提示又出来了,是个叫keta851.dll的文件!
  看样子真的是驱动级注入?我又不是网管,不可能花大量时间来处理电脑问题,再说这个病毒每次都会被nod发现,应该不会造成大的影响,不过同事还是比较紧张,希望能解决,至少暂时解决也好。暂时解决?这倒让我想起一个主意——其实不是新主意了,360免疫就用过这一招——进入windows\system32子目录,新建一个子目录,名字就叫keta851.dll,然后立即重新启动。结果,果然,病毒提示再也没有出来了。
  这个办法其实是利用了windows在copy文件时不主动区分子目录名和文件名的bug,而子目录名实际上是不可能被同名文件覆盖的,因此每次病毒下载时都会因此而遭遇失败,当然也就不会出现病毒提示了。不过这么操作并没有解决根本问题,病毒仍藏在系统内部,不过这是以后的事了,至少现在,问题解决了,同事也安心了……
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-24 03:54 , Processed in 0.059023 second(s), 20 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表