瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于查杀灰鸽子!目前方法可能不彻底,修改注册表能恢复病毒

12   2  /  2  页   跳转

关于查杀灰鸽子!目前方法可能不彻底,修改注册表能恢复病毒

收藏
天天醉
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2005-09-25
  • 来自:
发表于: 2005-09-25 21:04 | 只看楼主 短消息 资料
字号: 11楼

是的 我仅仅备分了注册表
完整杀毒之后全部硬盘都做了病毒扫描 确认系统无问题后恢复了杀毒前的注册表 然后病毒就完全恢复
在这期间没有使用任何光软驱动器也没连接网络
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-09-25 21:07 | 短消息 资料
字号: 12楼

那你找到那几个文件了吗?hijackthis扫出来的023应该只是鸽子建立起来的服务项的信息而已吧!!
gototop
 
天天醉
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2005-09-25
  • 来自:
发表于: 2005-09-25 21:20 | 只看楼主 短消息 资料
字号: 13楼

首先删除注册表的服务项(备分) 然后杀毒 经过多次重起再检测确认无病毒感染
恢复注册表后重新启动机器病毒也回来了 瑞星启动就提示两个svchostKey.dll,svchost_Hook.dll病毒 文件被删除
然后用瑞星杀毒 几乎所有的进程都重新被感染 但是这时候不能发现winnt目录下的病毒文件svchost.dll和svchost.exe
后来删除注册表项 重新启动后用瑞星杀毒 进程都恢复正常,winnt目录下发现svchost.dll病毒 删除成功
在重新启动全盘检测无病毒。
现象按我的理解就是:注册表决定病毒是否起作用,但并不是杀掉病毒
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-09-25 21:22 | 短消息 资料
字号: 14楼

你是说恢复后svchostKey.dll,svchost_Hook.dll又生成了???
gototop
 
天天醉
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2005-09-25
  • 来自:
发表于: 2005-09-25 21:24 | 只看楼主 短消息 资料
字号: 15楼

对 重新生成了
gototop
 
猎鹰渔民
头像
初生襁褓狮
  • 帖子:816
  • 注册: 2005-06-12
  • 来自:
发表于: 2005-09-25 21:26 | 短消息 资料
字号: 16楼

……没有试过,改天找时间试试看……
PS你为什么又要恢复注册表呢?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-25 21:37 | 短消息 资料
字号: 17楼

【回复“天天醉”的帖子】

O23 - NT 服务: svchost - Unknown owner - C:\WINNT\svchost.exe

从头说起吧

如果你执行了:
1/删除了注册表中的svchost
2/重启系统
3/删除了C:\WINNT\文件夹中的svchost.exe、svchost.dll、svchost_hook.dll、svchostKey.dll

现在,你仅仅在注册表的HKEY_LOCAL_MACHINE\.....\SERVICES分支下加上了注册表项svchost

这样,灰鸽子是不可能回来的。

只有启动加载项,没有相应的病毒文件,病毒怎么启动?
gototop
 
天天醉
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2005-09-25
  • 来自:
发表于: 2005-09-25 21:40 | 只看楼主 短消息 资料
字号: 18楼

我也是喝高了点闲的无聊 正好更新杀毒软件所以检测了一下
没发现病毒,不过前不久中过鸽子,手工杀的时候曾经备分了注册表,当时也是怕删错。
我看到背份的注册表时也是突然闪了个念头,既然病毒没了 那么注册表服务项也属于个无用的空指令了。虽然知道是没用的不过也是手闲就双击了一下,结果灾难发生了,我一天之内重复杀毒了10次以上,确实恢复注册表病毒也重生了~~这到成了我的心病了  心脏病快犯了
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT