1   1  /  1  页   跳转

[原创] w1017.exe的处理

w1017.exe的处理

瑞星20.66.60不报毒。

此毒改写系统文件beep.sys;恢复SSDT,并通过IFEO劫持废掉多个杀软及辅助杀毒工具。中此毒后,IceSword这样的工具也不能用了(此毒监视这些工具的目录、文件名以及窗口内容)。

Wsyscheck改名后还能正常运行。用改名后的Wsyscheck(如:WSC.EXE),按下图处理即可灭掉此毒。
重启后,手工删除病毒添加的加载项、服务项、IFEO劫持项即可。



病毒的服务名可能是随即字母名




此毒搞掉IceSword的原因恐怕是因为这个:



用户系统信息:Opera/9.60 (Windows NT 5.1; U; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2008-10-20 16:50:15
分享到:
gototop
 

回复 2F yaya200054 的帖子

看完帖子,再回复,不行么?
gototop
 

回复: w1017.exe的处理



引用:
原帖由 天天免费啊 于 2008-10-21 20:24:00 发表
猫版没开下载啊,   那这个毒也失去研究意义了.  该毒的真正意图是联网下载 HB开头的DLL  和一些木马.


我用IDM(一个下载工具)接管所有网络下载。

遇到病毒下载器,下载的病毒全部进入IDM的download文件夹内。并不能自动运行。
gototop
 

回复: w1017.exe的处理



引用:
原帖由 闪电风暴 于 2008-10-22 20:23:00 发表
应该不像是PJF在初始界面中写下的pjf(ustc)和IceSword,这些东西如果不是label的话,早就被转化成图片了。
而从图片中识别文字是十分麻烦的。

其实检测IceSword启动是很简单的。。。。Hook 掉CreateProcessExW,然后检查效验和就行。


找到这个病毒的软肋了

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT