对抗安全软件 机器狗新变种清除方法(一)
本周发现一些修改替换系统文件病毒的新动向,尤其以开机后不久杀毒软件变无法运行和被清除的现象引起我们的注意。
现象一:杀毒软件被病毒执行清除操作。运行sreng或者杀毒软件安装文件后文件被瞬间清零并提示不是有效win32程序。如图所示:
此类病毒处理思路参考:
http://bbs.duba.net/thread-21873026-1-1.html
现象二:开机后不久杀毒软件便无法执行杀毒操作,扫描映像劫持无可疑项目。使用AV终结者专杀可以扫描到映像劫持修复后重启依然可以扫描到劫持。
原因:病毒修改替换了userinit.exe和conime.exe。在计算机启动时通过调用rundll32.exe加载相关病毒dll文件写入映像劫持。
(注意:该病毒写入映像劫持debugger的数据是ntsd -d,这样就使得目前主流的检测工具sreng、autoruns等检测不到劫持异常。)如图所示:
www.5ijcw.com
一些病毒为了防止用户使用劫持修复工具修复对杀毒软件的劫持,便将劫持杀软的注册表项限制了当前登录帐户的访问权限,使其无法修复。
如图所示手工删除时的提示:
处理方法:替换病毒修改的系统文件,将相关的注册表项目添加上可以进行操作的权限。
注意:毒霸用户可以使用附件中的映像劫持清除脚本进行修复,该脚本会考虑访问权限的问题并清除毒霸相关的劫持项目。
非毒霸用户涉及权限问题导致的无法修复,建议咨询对计算机比较了解的人士手动修改。
目前接到反馈发现该病毒会导致用户部分程序汉字字体无法正常显示。简单举个例子,在记事本中输入汉字:"毒霸",复制粘贴到UE中会显示为乱码。
现象三:清理专家反复提示异常的userinit注册项,但是无法清除。如图所示:
www.5ijcw.com
问题原因:该病毒通过两个run键值加载,并且修改了userinit键值。如图所示:
关键字: Tag:电脑安全,电脑安全防护,个人电脑安全,电脑学习 - 电脑安全
《对抗安全软件 机器狗新变种清除方法(一)》相关文章
- 对抗安全软件 机器狗新变种清除方法(一)
- › 对抗安全软件 机器狗新变种清除方法(一)
- 在百度中搜索相关文章:对抗安全软件 机器狗新变种清除方法(一)
- 在谷歌中搜索相关文章:对抗安全软件 机器狗新变种清除方法(一)
- 在soso中搜索相关文章:对抗安全软件 机器狗新变种清除方法(一)
- 在搜狗中搜索相关文章:对抗安全软件 机器狗新变种清除方法(一)