惊讶,rising注册表监控这样失效?【讨论】
朋友一台上网机器,安装瑞星病毒监控、个人防火墙、卡卡助手,均为最新版本。系统是我安装的,一直比较干净。不过因为是个人单机,所以操作系统当时是装的盗版,很多补丁没安装。今天告诉我发现病毒,现将情况转述如下:
上午使用机器上网,浏览网页,据他回忆是在访问269音乐在线'www.yy269.com/#'网址想下载郑中基专辑《无奈》音乐时出现问题,(蛮搞笑的,我个人不认为是访问此网址导致问题,什么网站要这样做?不过我没有尝试访问)。
在打开此网页时,出现瑞星注册表监控提示框,据他形容是‘一闪而过’,因为默认是拒绝修改所以也没注意,继续使用,紧接着更奇怪的事情发生了,任务栏上瑞星小伞和防火墙盾牌图标消失,试着重新开启瑞星程序加载无效,打开瑞星杀毒主程序查杀内存,查出系统盘:\documents and settings\...\temp\以及系统文件目录下对应文件染trojan.psw.lmir.jrp和trojan.psw.misc.gen病毒,染毒文件各一,其中...lmir.jrp病毒是感染svchost.exe。查看瑞星监控日志,‘一闪而过’是修改了hklm\software\microsoft\windows nt\currentversion\winlogon:shell为’Explorer.exe 1‘,而且确实是同意修改!这种修改很常见,但瑞星注册表监控失效还是头回听说。其他:fat32格式盘符下出现command.com和pagefile.pif文件,而且带trojan.psw.misc.gen病毒。ntfs盘无病毒。此时再查杀内存,发现regedit.exe带backdoor.gpigeon.vqf病毒。
我知道的就这些,拷贝了工具IceSword和可能需要的ssm给他,让他配合kaka查看、瑞星注册表修复等工具自己处理了。
