关于隐藏属性的病毒Uninstall
这是个“条件感染性病毒”。
样本来自:
http://bbs.janmeng.com/thread-943867-1-1.html。这DD挺有个性——————不采取点儿特殊手段,即使下载了那个recycle.{645FF040-5081-101B-9F08-00AA002F954E},你还是看不见此毒的真身!下图中那个快播Logo的病毒文件是俺用了点儿手段后才使它现身的
啥叫“条件感染性病毒”?故名思义,就是在一定条件下才感染文件。如果找到它的软肋,在NTFS格式的系统中,弄死它还是不算太难。先看看被我弄死的病毒尸体:
中此毒后,不要运行任何可执行程序。否则,你运行那个.exe,它就感染那个.exe。
中毒后的第一步:用权限封死所有病毒文件(病毒文件及其路径见上图)。
然后重启系统。
重启系统后,走刚才的逆过程————给病毒程序添加权限,然后删除病毒文件及其添加的加载项和IFEO劫持项。
搞掂。
第一次在True Image下玩儿它,运行病毒后,就着急用工具侦察、宰杀。结果————工具一个个都被它感染了。只好重启,脱离True Image。再进True Image,重新玩儿。
有了第一次的经验,第二次,干净利索地把它灭了
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61
