查看: 2113|回复: 4
收起左侧

怎么手动清除Vundo

[复制链接]
GBUser
发表于 2007-3-13 15:00:12 | 显示全部楼层 |阅读模式
老板的机子又中毒了,叫俺去收拾,干死了一个木马后在冰剑里东看西看,看到一个BHO,指向一个ljjklji.dll。小红伞也跳出来报毒,但是删除不了。在进程里察看了一下发现它插入了winlogon和explorer,可以从explorer里卸除它,但是如果试图从winlogon里卸除它,就会蓝屏。Cureit报告该文件是Virtumondo,但删除不了。相关注册表项删除了之后会重新被改回来。我在机子上装了SSM,然后再删除相关注册表项,发现winlogon会试图把注册表项改回来。用SSM建立永久规则阻止winlogon修改,但重启后注册表项还是被改回去了。俺大汗。也没发现这个东东还有别的同伙,用Rootkit Unhooker看了一下也没有异常的hook。手头没有启动盘,安全状态下它照样启动。最后还是从网上下载了Vundofix,结果轻松搞定。
想请问一下如果没有启动盘,怎么手动清除这个东东?
wangjay1980
发表于 2007-3-13 15:55:46 | 显示全部楼层
用SRE和冰刃
GBUser
 楼主| 发表于 2007-3-13 16:18:59 | 显示全部楼层
这两个我都用过的,SRE日志没发现别的帮凶。
冰剑的结果就是蓝屏,上头说了。
GBUser
 楼主| 发表于 2007-3-24 11:02:34 | 显示全部楼层

在卡卡社区看到一招

先大汗一下,白用SSM这么长时间……
加入病毒库文件的规则,设为阻止。以前一直没在意这个“新建规则”,总是等SSM来问我,看来这个提问-回答机制不够狠啊
谁中了Vundo的可以试验一下
GBUser
 楼主| 发表于 2007-3-24 11:04:50 | 显示全部楼层
另一个东东是Pendmove,文件延迟删除工具,估计也会有效。但当时忘了它名字,忘了这个功能的名字,忘了相关键值的名字,所以就没用上……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:23 , Processed in 0.131111 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表