周末咨詢這個(gè)病毒的人突然多了起來(lái),帶毒文件是一堆DLL,這個(gè)病毒通過(guò)系統(tǒng)執(zhí)行掛勾加載,和那個(gè)AV結(jié)者下載器非常相像,只不過(guò)這個(gè)病毒不再關(guān)閉殺毒軟件了。中毒后最大的麻煩是清除,這個(gè)病毒通過(guò)映像劫持和系統(tǒng)執(zhí)行掛勾來(lái)加載,即使啟動(dòng)系統(tǒng)到安全模式,病毒一樣會(huì)執(zhí)行。仍然會(huì)發(fā)現(xiàn)病毒,而難以清除掉。
清除這個(gè)病毒,除了殺毒軟件,還需要幾個(gè)輔助工具。比如Sreng和金山清理專家。對(duì)初級(jí)用戶來(lái)說(shuō),清理專家更容易使用,報(bào)告也更簡(jiǎn)潔。
比如這個(gè)案例:
Sreng的掃描日志(節(jié)選)
一個(gè)完整的Sreng日志一般在50KB左右,沒(méi)有經(jīng)驗(yàn)的人看這個(gè)如同天書。
對(duì)于清理專家來(lái)說(shuō),在全面檢測(cè)中,這些項(xiàng)目都非常直觀。并且聯(lián)機(jī)檢查安全項(xiàng)的功能,直接就會(huì)報(bào)告上面這些DLL是未知項(xiàng)。分析清理專家的報(bào)告,就簡(jiǎn)潔多了(這兩份報(bào)告并非同一臺(tái)機(jī)器,樣本有所不同,病毒名是一樣的,也說(shuō)明這個(gè)病毒生成的文件是多個(gè))
在清理專家的界面上能清晰表現(xiàn)出執(zhí)行掛勾的映像劫持(以這張圖為例,可以看看執(zhí)行掛勾和映像劫持)被win32.troj.enhookt.b.20520病毒入侵的機(jī)器會(huì)發(fā)現(xiàn)這個(gè)列表很長(zhǎng),評(píng)估為病毒或未知。
殺毒
可以使用清理專家配合毒霸一起使用(清理專家不枉殺毒伴侶的稱號(hào)),如果你是其它殺毒軟件的用戶,一樣可以使用清理專家?guī)湍愀愣ㄟ@個(gè)病毒。
方法還是很簡(jiǎn)單,通過(guò)上面的方法,以及殺毒軟件的報(bào)告(會(huì)報(bào)告病毒文件具體的路徑,殺不掉的記下來(lái),或者看日志),按圖索驥就找到病毒文件所在,再拖放到文件粉碎器的窗口,直接點(diǎn)擊徹底刪除,然后重啟,在上面那個(gè)界面中,右鍵點(diǎn)擊那些不存在的加載信息(因?yàn)槲募呀?jīng)刪除,程序?qū)@示找不到文件),再點(diǎn)擊清除此項(xiàng)。
然后用清理專家百寶箱中的LSP修復(fù),工具,應(yīng)該能看到異常,點(diǎn)擊自動(dòng)修復(fù),這個(gè)病毒就解決了。
殺毒要領(lǐng)
病毒在運(yùn)行,刪除失敗時(shí),清理專家的文件粉碎器可以很好的解決這個(gè)問(wèn)題,相對(duì)而言,清理專家更適合初學(xué)者獨(dú)立解決問(wèn)題。操作門檻較低,也相對(duì)安全。