回复:想练习手工杀毒的实习生请进
才看到这帖子,哎,迟到了~~我是超级菜菜,大家不要笑我啊~~
win2000 AD server系统 管理员用户为administrator
因为了看了LZ的介绍,所以运行病毒前清空:
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
c:\winnt\temp
我比较笨的,觉得清空一下会比较有用
运行病毒后进程中有msnhostin.exe进程,结束后再加载。
运行几次出现几个,而且一但运行就结束不掉了。
好像有的病毒只允许加载一个的,这个不是。
用SRE扫描发现启动项里被添加
<MSN Host><msnhostin.exe> []
<Symantec DB Server><symdbsvr.exe> [Symantec Solutions]
手动删除过程
定位该文件,打开冰刃,打开命令提示符,设置冰刃为“禁止进线程创建”
杀掉进程msnhostin.exe
并用命令提示符下在system32目录下建立同名文件夹,
md msnhostin.exe
md msnhostin.exe\dfdf.....\
md symdbsvr.exe
md symdbsvr.exe\dfdf.....\ (算是免疫用吧)
关闭冰刃。
用SRE删除多余的启动项。
检查了一个TEMP文件夹
发现C:\Documents and Settings\Administrator\Local Settings\Temp下有一压缩包MyPhoto009-XxX.zip(不知道和这个病毒有没有关系,但应该不是什么好东西)
解压后为MyPhoto009-XxX.JPEG_www.facebook.scr
运行后没发现有什么变化。
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\RBTZBD8K文件夹下有一个EXE文件Exv-6[1].exe,(感觉不是什么好东西,不知道和这个病毒有没有关系)
没有发现有可疑的服务项,驱动项。至此我能做的只有这些了。
其它的我是无论如何也找不到了,我不会查关于进程被注入的信息。
本人超级菜~~~ 敬候LZ给我们讲解这个病毒的行为以及清除办法。
我是用我们单位的机器试的,没有虚拟机,下班啦,得杀毒了~~
要不会被老板干掉的。
