我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: [交流]我手杀一个病毒的经历 隐藏签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

yinx



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
家族: 丢丢
发贴: 2333
威望: 0
浮云: 1260
在线等级:
注册时间: 2006-09-15
最后登陆: 2009-05-11

5come5帮你背单词 [ scan /skæn/ vt. 扫描,浏览,细察,审视;vi. 扫描,扫掠 ]


[交流]我手杀一个病毒的经历

病毒已经杀了,我才想到来发贴,所以没得截图了.

前两天我的电脑总是弹出一个DOS窗口,然后再弹一个消息框,说什么什么无效指令.我估计是病毒.
用KV2005、安全卫士360查了一遍都没有发现什么.
该DOS程序在F:\temp\里,文件名是不定的,该EXE是由什么进程动态生成的,删了又会有新的出现.

于是我用FileMon监视是什么进程在F:\temp\里生成那些EXE.发现是winlogon.exe在搞鬼.

winlogon是微软的东西,它本身没问题,看了看它的修改时间也不是最近被修改了的.
打开IceSword,看看有什么winlogon引用了什么DLL.发现了一大坨DLL.大多在system32里面,还有一些在其它里面.


到上面看到的各个文件夹里,按修改时间排序.上网查那些修改时间在三天之内的DLL,如果不是安全的DLL全部删掉.在IceSword里面也要去掉此DLL的关联.


两分钟后,我的电脑DOWN了,然后一声都不说立刻重启了.(因为WINLOGON要调用该DLL的函数,但该DLL已经被IceSword删掉了,所以会出错)


重启后,我的电脑就正常了,WINLOGON不再向f:\temp\里面写东西,也没有DOS窗口弹出了.
杀毒完成.

自强不息!
顶端 Posted: 2007-01-02 14:52 | [楼 主]
狼的诱惑



性别: 保密 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 839
威望: 0
浮云: 1115
在线等级:
注册时间: 2005-11-11
最后登陆: 2010-01-31

5come5帮你背单词 [ government /'gΛvənmənt/ n. 政府,管理,支配 ]


厉害
顶端 Posted: 2007-01-02 14:59 | [1 楼]
春天花会开



性别: 帅哥 状态: 该用户目前不在线
等级: 鹤立鸡群
家族: KOP★红军魂
发贴: 1084
威望: 0
浮云: 1105
在线等级:
注册时间: 2006-04-28
最后登陆: 2009-04-21

5come5帮你背单词 [ pig /pig/ n. 猪 ]


同志们辛苦了
顶端 Posted: 2007-01-02 21:26 | [2 楼]
我来我网·5come5 Forum » 软件交流

Total 0.006882(s) query 5, Time now is:11-27 13:42, Gzip enabled
Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号