到http://bbs.kafan.cn/viewthread.php?tid=96632&extra=page%3D1&page=1看到有AV终结者病毒样本,于是下载下来,关掉卡巴斯基,启动病毒程序.
1.启动狙剑5011(到http://bbs.kafan.cn/viewthread.php?tid=79940&extra=page%3D3或到http://www.zhulinfeng.com/bbs 下载),如果*.exe文件不能执行,请将扩展名改为*.com格式后执行.
2.在右下角托盘图标,右键单击设置系统监控中,选中暂时锁定系统,把系统临时锁起来,不允许任何程序对注册表进行写入,还可以禁止进程创建、文件创建.
3.右键单击右下角托盘图标,打开主窗口-自启动项 ( 检查启动项时自行修复EXE文件关联与显示隐藏文件功能,还有程序的Debuger关联检查,自动删除各盘根目录下的autorun.inf文件等 ) 待下面出现操作完成提示后,利用窗口右上方的文件创建时间进行排序后,可查看到窗口下面有上百项类似的新创建注册键值, ( 记住文件路径备用,也可利用所属公司,文件描述,属性等判断病毒启动项目 ) 利用shift键选中被认定可疑上百个项目进行批量删除,此病毒文件路径为:C:\Program Files\common files\microsoft shared\msinfo\4978350A.dat 和C:\Program Files\common files\microsoft shared\msinfo\4978350A.dll
4.不退出狙剑,直接按reset重启.
5.删除步骤3详细路径下的文件,删除各盘根目录下病毒文件如此病毒的4978350A.exe,搜索系统目录下类似病毒文件,删除之,即可大功告成.
其它映像劫持类型病毒处理同上,如有驱动保护的,在自启动项先清除相关内容后,重启再删除病毒文件.
[ 本帖最后由 ooo-ppp 于 2007-6-14 14:32 编辑 ] |