【卡卡助手进阶】使用卡卡助手案例之清除冒充杀毒软件流氓
本帖所述操作有风险,请在成人或者是老鸟的指导下再模仿本次案例的操作。本文用于介绍卡卡安全助手的启动项管理;
本帖所述及仅供参考学习,请务必先明白以下几点:
1、什么是系统启动项? 2、如何确定病毒启动项?
算了,不吓唬人了。
GO,大家像看电影一样看完本帖吧,一般会有收获的。
欢迎大家入群咨询:
47918180(瑞星用户咨询)新
18824736(睡神群,解决问题于无形间)
21587949(瑞星-AVF病毒救援群2)
14580780(瑞星-AVF病毒救援群1)
或点击后面的绿色字,发消息QQ
¤Mò↗路£求助故障现象:
电脑不时的弹出这个(冒充系统安全中心)的提示.
该样本"推销"的是一款"virus Remover 2009",如果用户点击进去,将会继续被骗购买该杀毒软件
因为我不知道这个是哪个程序弹出来的,所以,通过瑞星卡卡安全助手高级工具里的启动项管理,可以找出该流氓的蛛丝马迹:
这是登录项:
注意这张图片里用红线画出来的地方:
virus Remover 2009这个就是欺骗的流氓软件启动项。
这时可以操作的是: 1、禁止该启动项(去掉前面的勾);2、选择那条启动项——右键——打开所在文件夹
一般习惯是查看[全部]的启动项,所以点击之后,会出现比较多的扫描项:
发现了另一个比较不正常的启动项,但是因为使用的是卸载的图标,所以暂时不管他,通过检查下面的其它启动项,看看有没有什么发现。
下面两行说明一下吧:
最后面的那个Services是服务的意思,效果和:开始——运行——services.msc是一个原理
Services(Drivers)就是驱动了。
继续往下翻之后,发现了一个危险程序:
因为是_00C开头的,并且位置是:
Winlogon 对应卡卡的系统通知项。
一般情况下这个启动项下面都是系统相关的启动项,所以,当有正常的程序利用这里启动时,不太正常
经过查看这些危险启动项的属性,发现位置是在C:\windows\system32\目录下
可疑驱动:没有描述,没有公司名,但并不代表他是病毒,所以查看他的属性,如果是很早以前创建和修改的话,一般是正常的程序,如果是最近创建/修改的,那应该上报给瑞星分析一下:
病毒上报|
http://mailcenter.rising.com.cn/uploadnew.aspx (有奖病毒上报)。
本帖只是提供一款案例.
更多可以参考对照:
http://bbs.ikaka.com/showtopic-8603254.aspx 用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)