|
|
原帖由 fengxi 于 2006-10-29 11:49 AM 发表
用第一页的文件,那个新
装了,不错的说。相信不久后病毒就利用这个技术了,让杀毒软件杀不动,如果胆敢清除病毒的底层驱动,那系统也将启动不了。
早就有着这种病毒了,前几天帮同学消灭一个病毒,用了近4个小时才搞定。是一个叫什么yok的顽固流氓软件,用最新的卡巴斯基6.0能查出毒来,报告是一个特洛伊木马,但是每次只要一尝试杀毒就会自动关机。用超级兔子卸载流氓软件卸载它也卸不干净。就连进安全模式都杀不掉那个毒。原来这个垃圾是一个通过系统最基本的进程system加载的一个驱动,在system32/drivers/目录下有一个隐藏着的驱动文件,每次系统启动的时候都会让system进程加载那个流氓驱动,不管在正常模式还是在安全模式用unloker解除它与任意进程的关联之后删除它,不出几秒钟它又自动生成了一个一模一样的文件。这样就算用System Safety Monitor监控每一个项目的加载和运行都阻止不了流氓驱动的加载,因为它是通过system进程加载的,在System Safety Monitor里system进程的任何动作都是默认允许的,也没有任何方法去阻止system进程对某一个驱动的加载。我最后是用Autoruns查看系统的所有自启动项目,找到了那个流氓驱动所对应的注册表键值,一开始是直接删除,一刷新注册表那一项就又出来了。最后我是通过修改那一项注册表对用的路径由原来的system32/drivers/目录下改为system32/目录下,这样造成链接失效,然后重启动,卡巴斯基一下子就能把那个驱动文件给删了!我很难想象如果我修改注册表路径后不到几秒钟那个流氓驱动又能自动还原注册表路径的话,我又该用何种方法来解决这个流氓驱动?我估计只剩下格式化C盘重装系统这条道了!:L |
|
IP卡
狗仔卡
发表于 2006-11-16 21:49:38
显身卡