瑞星卡卡安全论坛

此毒运行后，改写系统驱动beep.sys，恢复SSDT（此毒以及目前流行的病毒多用这招干掉多数杀软）。
SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。此毒将系统时间改为2004年。

手工杀毒的第一步应该是重启、按F1，在BIOS中将系统时间改回到现在。重启。SSM完好无恙。在SSM的blocked组中添加一条校验和规则（针对MSDOS.EXE的，图）。将SSM设置为“自动启动”。
重启。此毒完全死掉。
删除下列文件即可：

1、各分区根目录下的autorun.inf和MSDOS.EXE
2、system32目录下的wuauclt1.exe和w1nnet.dll
3、dllcache目录下的wuauclt.exe
4、drivers目录下的beep.sys
4、internet explorer目录下的x.pif(x代表数字）

病毒添加的加载项和IFEO劫持项要一一删除。

注：不必担心删除上述系统文件后系统功能受影响。实际上，XP系统会自动从dllcache目录下拷贝相应文件到其原位置。




用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

w1nnet.dll
这个是干什么的

学习了猫叔:default5:
还让我发现了猫叔的SSM没注册:default6: :default6:

注册与不注册都能用，效果一样。注册它干啥？

好像试用版本的时间性是一个月吧！到期之后呢？
有没有破解版本的ssm

这种DD，不要用什么“破解”的（谁知道破解版加料了没？）
我的SSM试用期永远是从“今天”开始的“一个月”。

打算写个东西，把SSDT 中的NtCreateProcessEx恢复掉，然后再Inline Hook NtCreateProcessEx，再把参数传给SSM完事。。。
这样病毒怎么恢复SSDT都不顶用了。。呵呵

写出来后，请发给我试试。谢谢！
baohelin@yahoo.com.cn

那病毒作者先把inline hook给恢复了
或直接SSDT HOOK，然后在替代函数里自己实现原函数前面部分代码，再跳回原函数后面执行，绕过你的inline hook，用SSDT HOOK对付inline hook的那篇文章可又是非常流行的，源码满天飞的呀:default6:

SSM是一个单独的程序，还是windows自身的程序？
我对这方面了解不多，请各位老大不要见笑哦！:default5:

刚又学习了一下，SSM是一款对系统进行全方位监测的防火墙工具。呵呵

谢谢了,我的毒能删除了!

学习学习........

原来这样啊!!
  但是我见我们公司有很多电脑里面都有这样的 msdos.exe文件,