瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:“Aerith”——关于 perfhmon.exe的查杀

12   1  /  2  页   跳转

致:“Aerith”——关于 perfhmon.exe的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-31 11:56 | 只看楼主 短消息 资料
字号: 1楼

致:“Aerith”——关于 perfhmon.exe的查杀

一、用样本感染系统后未重启系统(查杀很简单)

1、进程Perfhmon.exe可直接结束。
2、C:\WINDOWS\system32\Perfhmon.exe可以直接删除。
3、下列注册表项可直接删除:

(1)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\下的

Perfhmon

(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\下的

Perfhmon

(3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的

Perfhmon

二、用样本感染系统后立即重启系统(查杀较复杂)

1、进程Perfhmon.exe不能直接结束。在IceSword的“设置”中勾选“禁止进/线程创建”后,才能结束病毒进程Perfhmon.exe。
2、结束病毒进程后,C:\WINDOWS\system32\Perfhmon.exe可以直接删除(见附图)。
3、注册表清理:
(1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage
删除:ProgramsCache
(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Perfhmon
(3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
删除:LEGACY_PERFHMON  (这项要用IceSword才能删除)
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
删除:Perfhmon
(5)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
删除:Perfhmon
(6)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:Perfhmon
(7)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除:LEGACY_PERFHMON (这项要用IceSword才能删除)
(8)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\
删除:Perfhmon
(9)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\
删除:Perfhmon

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-31 11:56:49
描述:



最后编辑2005-09-22 19:09:08
分享到:
gototop
 
網事如夢
头像
强壮不惑狮
  • 帖子:758
  • 注册: 2005-07-24
  • 来自:
发表于: 2005-08-31 11:59 | 短消息 资料
字号: 2楼

看来我又错了~~~向baohe学习!!
gototop
 
linghangli
头像
自信弱冠狮
  • 帖子:323
  • 注册: 2005-04-10
  • 来自:
发表于: 2005-08-31 12:49 | 短消息 资料
字号: 3楼

样本感染系统      是那样意思啊 


是用毒感染自己的电脑吗
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-08-31 13:02 | 短消息 资料
字号: 4楼

呵呵,要开学,下次拿寝室里的电脑做实验
gototop
 
atmosphere
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2005-08-10
  • 来自:
发表于: 2005-09-01 10:09 | 短消息 资料
字号: 5楼

先谢谢了,我再试试。
gototop
 
atmosphere
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2005-08-10
  • 来自:
发表于: 2005-09-01 10:19 | 短消息 资料
字号: 6楼

我的是找不到perfhmon.exe文件,无法结束进程。可能应该按第二种方案进行。单我不知道iceSword是什么东东,怎么用呀?
gototop
 
atmosphere
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2005-08-10
  • 来自:
发表于: 2005-09-01 10:25 | 短消息 资料
字号: 7楼

已经找到iceSword, 这就试试去
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-09-01 10:57 | 短消息 资料
字号: 8楼

版主,我一直纳闷,病毒在创建的路径和创建了些什么内容如何知道有哪些,在哪? 是不是通过系统在带的"查找"功能? 比如按名称,创建时间等, 注册表中生成了哪些文件,在哪生成了。也是通过"查找"获悉的吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-01 11:45 | 只看楼主 短消息 资料
字号: 9楼

引用:
【心言的贴子】版主,我一直纳闷,病毒在创建的路径和创建了些什么内容如何知道有哪些,在哪? 是不是通过系统在带的"查找"功能? 比如按名称,创建时间等, 注册表中生成了哪些文件,在哪生成了。也是通过"查找"获悉的吗?
...........................

TPF2005的Activity Monitor可记录这些内容。
gototop
 
lotusland
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2005-08-30
  • 来自:
发表于: 2005-09-01 12:10 | 短消息 资料
字号: 10楼

首先谢谢楼主的研究,其次谢谢强大无比的冰刀。
但是,很可惜我要说但是,病毒杀完之后,本机还会被传染。照目前的分析,可能是通过SQL server的1433端口传播的,怎么办呢?1433可不能断啊!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT