,落雪木马变种
日期:2014-05-17 浏览次数:20995 次
求助,落雪木马变种
求助,落雪木马变种
小弟最近中了落雪木马的变种
在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif
任务管理器有2个进程分别伪装成lsass和smss并且相互守护,文件在c:\windows\systerm32\com下
用尽各种办法都无法彻底删除
结束了2进程,删除了上述的所有文件,启动里禁止了一切可能的程序,注册表删除了所有带AUTORUN.INF和pagefile.pif的健值。最后用江民落雪专杀查杀全盘
清除完后一段时间没有出现
重启也没问题。
但不久莫名出现
好像在什么程序里或者文件夹里。
用干净的注册表恢复也不行
我曾删除了所有中毒当日及以后的文件,也不行啊
PEID看了下,加了FSG 2.0 -> bart/xt壳,卡巴不能识别
请问究竟怎么才能彻底摆平啊,这个很明显是变种,网上的特征和这个不是很像啊
快让他折腾疯了,各位高人大虾,快看过来啊
哪位朋友对汇编或者破解比较擅长和感兴趣,小弟把它发给你研究一下,顺便帮偶看看它究竟做了哪些改动啊
------解决方案--------------------
楼主可以试试 Dr.Web CureIt 和 Windows 清理大师
------解决方案--------------------
瑞星卡卡不是宣称能杀加壳的嘛,你用下试试
不嫌麻烦可以用SREng扫描下,把日志贴上来,然大家帮你找找关联文件和服务
------解决方案--------------------
既然在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif有文件,那执行下
pagefile.pif这个文件,然后进行监控,不就可以把所以后门都找出来了吗?
求助,落雪木马变种
小弟最近中了落雪木马的变种
在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif
任务管理器有2个进程分别伪装成lsass和smss并且相互守护,文件在c:\windows\systerm32\com下
用尽各种办法都无法彻底删除
结束了2进程,删除了上述的所有文件,启动里禁止了一切可能的程序,注册表删除了所有带AUTORUN.INF和pagefile.pif的健值。最后用江民落雪专杀查杀全盘
清除完后一段时间没有出现
重启也没问题。
但不久莫名出现
好像在什么程序里或者文件夹里。
用干净的注册表恢复也不行
我曾删除了所有中毒当日及以后的文件,也不行啊
PEID看了下,加了FSG 2.0 -> bart/xt壳,卡巴不能识别
请问究竟怎么才能彻底摆平啊,这个很明显是变种,网上的特征和这个不是很像啊
快让他折腾疯了,各位高人大虾,快看过来啊
哪位朋友对汇编或者破解比较擅长和感兴趣,小弟把它发给你研究一下,顺便帮偶看看它究竟做了哪些改动啊
------解决方案--------------------
楼主可以试试 Dr.Web CureIt 和 Windows 清理大师
------解决方案--------------------
瑞星卡卡不是宣称能杀加壳的嘛,你用下试试
不嫌麻烦可以用SREng扫描下,把日志贴上来,然大家帮你找找关联文件和服务
------解决方案--------------------
既然在C,D,E,F,G,H各盘下都有隐藏的AUTORUN.INF和pagefile.pif有文件,那执行下
pagefile.pif这个文件,然后进行监控,不就可以把所以后门都找出来了吗?
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
