再测RIS2010开机杀毒
电脑:纽曼朗月
系统:XPSP3
RIS2010设置:开机查杀系统分区
样本:url_sexbox.exe
操作及结果:
1、关闭RIS2010所有监控,只保留自我保护。
2、运行url_sexbox.exe。待其运行完成后重启系统。
3、执行开机杀毒。RIS杀到4个病毒程序,均报删除成功。
4、进入桌面,CAHIP报警(图1--图3):
5、查看病毒加载项及病毒文件,均完好无损(图4-图7):
6、此时试图开启RIS2010,结果失败。
7、手工删除病毒文件及其加载项以及RIS2010未查到的被病毒替换的appmgmts.dll,重启。
8、重启后RIS2010可以正常运行。手工删除剩余的病毒文件时,RIS2010抢先杀掉了这两个(图8):
所以特意留下这两个病毒文件,是因为他们属于最初RIS2010执行开机杀毒时报告删除掉的4个病毒程序中的两个。
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
