致:“Aerith”——关于 perfhmon.exe的查杀
一、用样本感染系统后未重启系统(查杀很简单)
1、进程Perfhmon.exe可直接结束。
2、C:\WINDOWS\system32\Perfhmon.exe可以直接删除。
3、下列注册表项可直接删除:
(1)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\下的
Perfhmon
(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\下的
Perfhmon
(3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的
Perfhmon
二、用样本感染系统后立即重启系统(查杀较复杂)
1、进程Perfhmon.exe不能直接结束。在IceSword的“设置”中勾选“禁止进/线程创建”后,才能结束病毒进程Perfhmon.exe。
2、结束病毒进程后,C:\WINDOWS\system32\Perfhmon.exe可以直接删除(见附图)。
3、注册表清理:
(1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage
删除:ProgramsCache
(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Perfhmon
(3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
删除:LEGACY_PERFHMON (这项要用IceSword才能删除)
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
删除:Perfhmon
(5)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
删除:Perfhmon
(6)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:Perfhmon
(7)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除:LEGACY_PERFHMON (这项要用IceSword才能删除)
(8)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\
删除:Perfhmon
(9)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\
删除:Perfhmon
