清除病毒!!mmc.exe病毒感染清除过程!! autoit3.exe病毒 清除
作者:阿闪 来源:网络点击次数:4 加入时间:2008-8-50:18:47 收藏到QQ书签5
此病毒从日志上来看,是修改了MMC.EXE文件,如果贸然用正常的系统文件替换,就会造成系统崩溃。
由于sigverif工具无法正确验证数字签名(主要是那个mmc.exe,而user32.dll可以验证,gpedit.msc不肯验证),procmon在监控没完成的情况下退出,所以没能观察到系统文件的文化。后来看了baohe和花谢花飞飞满天的分析,受到启发。事先分别用sreng2检查了系统文件夹的文件签名,用a8a9备份了windows下的可执行文件的MD5,system32下的dll和exe文件的MD5,drivers目录下的sys文件的MD5。
运行病毒后没作任何操作便重启,以尽量接近中毒情况。
重启后用sreng2扫了个报告(见附件),日志处理方案见附件(经cchao21提醒,漏掉一个,更新了。谢谢21)。
用a8a9检查先前文件的MD5变化,结果发现winhlp32.exe和user32.dll两个文件MD5值有变化,MMC因正在运行,无法检查。其它文件未见变化(系统中不同位置的两个beep.sys虽然被病毒修改,但MD5没变,只是修改时间变了,这个问题在BAOHE的帖子后我作了说明。而gpedit.msc文件未改动--MD5值没变)。
于是先替换winhlp32.exe和user32.dll文件,然后用xdelbox处理日志中出现的病毒文件。重启系统未见异常。至于mmc.exe和其它非活动状态病毒文件我就不用处理了(我是在虚拟机中运行病毒的)。
关键文件:user32.dll!!!!!!!!(和花儿的观察有点不同,userinit.exe未被感染,可能环境有所不同)。
疑问:
1、有点奇怪:sreng2怎么没能反映user32.dll 这个文件的异常?
2、c:windowssystem32driversmsiffei.sys这个文件无论在windows下用冰刃看,还是用xd删除时都未发现?
3、beep.sys的“修改时间”变了,但MD5没变,这是为何?(小聪已解答)
/////////////////////////////分割线再次飘过/////////////////////////////////////用别人的本机SATA第二硬盘适配器,更新那些文件 user32.dll beep.sys mmc.exesystem32和system32dllcache下都更新一下基本就正常了 这个最新最顽固的病毒就基本在我这歇菜了 不过系统感觉还是像大病初愈了似的 不是那么完美的了另外剑盟那个注册 还要邀请码的 那个还要买 真郁闷
更多阅读
手机中病毒怎么办,手机中病毒了怎么清除 手机中病毒了怎么清除
手机中病毒怎么办,手机中病毒了怎么清除——简介手机中病毒怎么办,手机中病毒了怎么清除。随着用手机的用户增多,问题也就跟着而来,下面我就来说下手机中病毒怎么办,手机中病毒了怎么清除。手机中病毒怎么办,手机中病毒了怎么清除——方
怎样清除征途木马 怎样清除手机木马病毒
现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病
如何清除arp病毒 手机如何清除arp攻击
如何清除arp病毒——简介arp的功能就是实现将IP地址解析为电脑物理网卡地址;全球接入互联网的电脑都有一个惟一的物理网卡地址(MAC),arp病毒主要是通过将网关地址解析成入侵的电脑MAC地址,并导致用户无法正常上网或者经常掉网。如何清除
WinHelp32.exe等病毒清除解决方案 如何清除文件exe病毒
病毒症状 该样本是使用“VC”编写的木马下载器,长度为“40,960字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载新病毒并运行。 用户中毒后,会出现系统运行缓慢、网络
清除雨云(thumb.db快捷方式 蠕虫病毒的批文件 thumb.db 删除
雨云蠕虫病毒一旦感染,会在“我的文档”中生成隐藏属性的病毒体(database.mdb)并由系统自动加载,然后在每个文件夹中生成隐藏属性的病毒体(thumb.db),隐藏属性的autorun.inf文件以及若干仿文件夹的快捷方式(下图红框处)。而其快捷方式内均