啸戕 - 2007-11-29 13:59:00
用瑞星杀毒,提示HookHelp.sys病毒并杀毒成功。但是再检查,又会发现这个病毒,杀毒成功,病毒依然存在。提示是Trojan.PSW.Win32.YBOnline.ce,具体路径:C:\WINDOWS\system32\HookHelp.sys。杀毒软件版本是20.20.22。因为是朋友的电脑问题,所以这里无法提供病毒原样本。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Leoooo - 2007-11-29 17:08:00
应该有病毒程序在运行,可以通过主动防御规则设置查询到时哪个文件可疑.选择主动防御设置->应用程序访问控制->添加->选择规则应用对象(选择*)->添加(文件)->监控目标(选择已知的那个病毒,你这边选择C:\WINDOWS\system32\HookHelp.sys)-〉监控操作(选择创建和修改)-〉然后点确定就行了
然后用瑞星杀毒后重启电脑,如果病毒文件还存在,则察看历史记录(在瑞星主界面-〉操作-〉历史记录),察看主动防御记录中的应用程序访问控制-〉文件访问控制,就能发现是那个进程创建了那个病毒文件,找到对应的文件路径,把可疑文件提取发送给瑞星
http://up.rising.com.cn/webmail/uploadnew.htm。
美丽无敌 - 2007-11-30 0:23:00
貌似是游戏盗号木马,到安全模式下查杀看看!
超级电灯泡 - 2008-1-24 22:57:00
hookhelp.sys是瑞星监控文件,提示有毒大有问题,哈哈
endurer - 2008-3-12 20:47:00
瑞星的HookHelp.sys是位于C:\WINDOWS\system32\Drivers下。
楼主说的是C:\WINDOWS\system32\HookHelp.sys,应该是病毒的冒牌货。
熔岩火鸟 - 2008-6-4 7:53:00
我用冰刀查看SSDT发现有个服务函数所在模块为\systemRoot\system32\drivers\HOOKHELP.sys有没有可疑之处啊:default8:
© 2000 - 2026 Rising Corp. Ltd.