提示重启清除,但不能清除的DLL病毒样本
系统:WINDOWS XP SP2
瑞星版本:22。00。00。81
现象描述:
在虚拟机系统中测试病毒时,发现有一个ofnf病毒进程总在任务管理器中出现(OFNF进程瑞星报:Trojan.Win32.Generic.11ECC97B)。手动结束OFNF.exe进程删除之后,重启仍然发现会启动。
经过分析,发现是2sb2.dll通过explorer.exe创建的OFNF.exe文件(explorer.exe创建OFNF.exe时瑞星的病毒监控并没有发现).
当发现2sb2.dll是释放OFNF.exe的源病毒之后,使用瑞星查杀内存,发现能查杀到这个2sb2.dll病毒,但却提示“清除仅需重启”。重启之后,发现该DLL并没有被成功清除。
能不能建议一下,删除不了,就改名屏蔽算了,比如改成2sb2.dll.bak,因为改了名之后,病毒就不能调用这个DLL了.并且瑞星也可以在改名之后就能删除或者是改名之后重启就能删除了.特提上样本,供工程师分析。
PS:在虚拟机中测试的时候,发现运行wsyscheck时(下载地址:
http://www.skycn.com/soft/40121.html),瑞星报未知木马阻止了,但是wsyscheck却成功运行。
另外,在实机中运行wsyscheck却没有任何提示。不知道是不是实机的RIS2010是否失效?
操作在视频中,录制视频时,刚刚测试完病毒。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)
