超级强悍的病毒？？怎么解决？

olly

楼上正解,其实这类病毒思路早就有了,不过是用于驱动级木马用来隐藏自身及自启动的~~~

hellking

没有啦？？？找个样本出来研究一下。

fengyishan

先整个样本上来再分析分析。否则有点空谈

behind411

原帖由 htyhzd 于 2008-10-7 14:20 发表

等待！！

dl123100

也不算新了 以前不少流氓软件就使用了类似的技术

dl123100

楼主贴的貌似来自几类顽固病毒的手动清除



2、顽固病毒第二类：Byshell后门
   Byshell后门实现了无进程、无DLL、无硬盘文件、无启动项。利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复文件和启动项。

这段时间泛滥的磁碟机变种Worm.VcingT.w.102400运用到了这种技术。
这类病毒危害极大却又隐藏极深，因为无启动项，导致难以发现和清除。

清除方法：
   如果怀疑种了该类病毒，可以使用RkUnhooker的右键中的“立即蓝屏”，使得病毒在关机时的写入启动项操作失败，当然断电和异常重启都
可以，可根据喜好采取任意一种措施。
   当然，如果你曾将用dir命令备份过%windir%\system32下的dll文件，只需在命令行下运行tasklist /M /FO "table" >d:\tasklist.txt获
得当前所有进程调用的dll（同第一类病毒，先确保无rookit），然后与备份的列表进行对比。

[ 本帖最后由 dl123100 于 2008-10-9 10:57 编辑 ]

伊の星

查看加载模块和子进程
和活动文件

annybaby

可能楼主玩的木马比较少,DLL注入型木马已经过时了....

余乐

DLL注入的直接KILL，加载在进程下，，，不过这种什么都没有的，，真的没办法，，，
看来有空断断电有益身心啊。。。

我爱恰饭

看不懂啊