科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道普通用户如何应对杀不干净的顽固病毒?

普通用户如何应对杀不干净的顽固病毒?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

测试之前,本机已用金山清理专家2.5漏洞修复功能安装了全部补丁,机器中没有病毒、木马、恶意软件,暂时关闭了杀毒软件的监控功能,以更好体现清理专家结合手工杀毒的魅力。

来源:比特网 2009年6月11日

关键字: 安全防范 顽固病毒 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件

  一、测试环境

  测试环境:VMware虚拟机

  平台:Windows 2000 SP4 已打所有补丁

  用到的安全辅助软件:金山清理专家2.5 冰刃1.22 Eqsecure 4.0 pro

  测试之前,本机已用金山清理专家2.5漏洞修复功能安装了全部补丁,机器中没有病毒、木马、恶意软件,暂时关闭了杀毒软件的监控功能,以更好体现清理专家结合手工杀毒的魅力。

  

  二、中毒症状

  运行一个网上所谓的“个性化条形码生成软件”,如图

  

  双击后,发现硬盘闪了几秒钟,随后该文件自动消失。整个过程见下面的视频。(视频在最后的附件中)

  随后电脑反应变慢,操作迟钝。ie首页被改(后面会进一步提到),种种迹象,怀疑这个文件是一个恶意文件,打开清理专家,进行恶意软件查杀,(注,我一共进行扫描过两次,相隔大约2分钟,第一次结果仅有mayababy downloader一项恶意软件,而第二次恶意软件增加到8项,下图是第二次扫描结果。)初步判断,这是一个下载者病毒,在后台下载木马程序,盗取用户帐号等信息。

  

  同时,还强制安装了部分广告软件,弹出广告窗口,见清理专家的查杀情况。

  

  

  打开ie浏览器,发现首页已被篡改,并强行安装了某工具条。

  

  高级用户,可以打开我的电脑右键-查看系统服务,发现,在最后一行,多了一项,(截图截得不太好,将就一下^_^)

  细心的用户一定会发现,所有的服务名称都是英文的,而仅仅这项服务名称为“网络服务”,虽然名字起得像模像样,然而还是逃脱不了我们的火眼金睛。该项服务既没有描述,又是中文名称,打开看下属性,对应的文件是Mayababymain.exe。

  

  

  mayababy看似眼熟,这不是清理专家刚刚查出的恶意软件嘛。还藏到系统服务里来了,并且开机自动启动。

  再来看看进程,看似好像都安全。

  

  可是加载的dll呢,就不是那么回事了哦!有很多可疑的dll加入了系统进程。

  

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章