裘医生接诊了一位病毒受益者——王方。王方的《传奇》账户被黑客盗走,只管经过致力取回了账户,但还是有很多低廉的游戏装备隐没了。因此,他疑心电脑感化了病毒。在给他的电脑启动检测的环节中,裘医生发现电脑IE经常智能弹出网页。当他观察义务治理器时,发现有几个“iexplore.exe”进程和一些生疏进程(如:updaterun.exe)。www.sq120.com介绍文章这时,裘医生曾经可以确诊,王方的电脑感化了死神下载者病毒。这是一个十分狡诈的病毒,会形成很多杀毒软件及团体防火墙软件无端分开。该病毒运转后会从黑客指定的网站下载其余的病毒及木马,下载的这些恶意程序会窃取用户的网络游戏账号、明码等消息,给用户的消息安保带来很大要挟。病毒档案死神下载者病毒可以经过邮件、恶意网站等途径流传,可以经过IE的破绽对系统启动入侵。该病毒还可以在盘符下生成autorun.inf和可口头病毒文件,拔出闪存就会被感化。因为该病毒驳回的暗藏形式比拟多,清算起来有些费事。快刀斩病毒裘医生自信满满地在王方的电脑上关上Process Explorer,首先观察到几个显著的病毒进程(如:117929271962.exe、902.exe、Updat erun.exe等),对它们都可以经过右键菜单命令“Properties”检查属性取得其门路(图1),而后经过右键菜单命令“Kill Process”杀除该进程,最后删除该进程文件。Www.ITComPUteR.com.CN
启动以上操作后,裘医生发现了几个可疑的进程,貌似系统进程却或者是病毒的载体。于是,裘医生右键单击一个rundll32.exe进程选用“Properties”命令,果真发现它的Command line为“C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vxlu\ihve.dll,Service –s”。其实这就是运转了ihve.dll这个病毒程序的结果。右键单击该进程选用“kill Process”命令予以杀除,接着进入相应目录删除病毒文件。对另一个rundll32.exe进程和rundll2000.exe进程加载的病毒启动相似操作也是必要的。裘医生还发现系统启动了几个iexplore.exe进程,这些进程在做什么呢?右键单击其中一个IE进程选用“Properties”命令,发现它的Command line为“C:\Program Files\Internet Explorer\IEXPLORE.EXE“”,也就是调用IE衔接“”这个网址(图2)以衔接病毒下载网站和广告弹出网页。 对三个IE进程都启动“Kill Proc ess”命令操作予以杀除就可以了。
病毒隐身照样杀以上操作还是不能保障从新启动后,系统不被暗藏极深的病毒破坏。因此,裘医生选择对系统做一次性深化的“片面体检”。裘医生经常使用长于调整修复系统的SREng来剖析系统。一关上SREng就弹出正告消息,显示为API Hook失误(图3)。API HooK技术是一种用于扭转API系统函数口头结果的技术,可以被病毒用来暗藏自身。裘医生点击“修复入口点失误”按钮以查出隐身的病毒。当SREng切换到“启动名目”选项时,马上弹出正告消息,揭示注册表值Userinit被修正。病毒很或者经过该键值启动了加载,关上该键值发现被修正成了“C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\tGGRk.exe”,而正确的应该是“C:\WINDOWS\system32\userinit.exe,”修正回来并删除tGGRk.exe。经过下面的肃清发现病毒文件有些是经过服务加载的。切换到“服务”选项,点击“Win32服务运行程序”按钮,在弹出的窗口果真发现了病毒的服务,接着就尝试删除一切病毒服务和病毒服务的映像文件。关上超级巡警,在超级巡警的“服务治理”选项,右键单击病毒服务,选用“删除服务和映像文件”命令即可。因为死神下载者病毒下载了木马病毒来控制感化病毒的电脑。接着就是肃清死神带来的木马了。选用超级巡警的“进程治理”选项,审核Explorer.exe这个系统Shell进程发现了灰鸽子2007的服务端文件G_Server2007.dll,于是右键单击该文件选用“强迫卸载标志模块”命令,而后删除该文件即可。
什么是IEFO劫持
这两周恶性病毒AV终结者疯狂暴虐网络,出现当日就“宰杀”几十款国际外出名杀毒软件及防火墙,该病毒经常使用一种名为IFEO劫持的技术,造成众多杀毒软件无法运转的要素也在于此,个别网民或者会问终究什么是IEFO劫持?IEFO劫持也称为Windows文件映像劫持技术,在Windows注册表中有一项Image File Execution Options,关键用于调用对应程序,系统自动必定要有超级治理员级别用户才有权修正。当此项被用户误改或出现缺点时运行程序就会凌乱,用户会发现运转的并不是自己指定的程序,例如双击IE后却跳出了Outlook的窗口,运转Word却关上了Excel,运行程序之间相互笼罩,这时就出现了映像劫持现象。理论这种状况很少出现,即使出现了多半也都是因为局部程序写入注册表时有意破坏了此项。而AV终结者正是应用了这个少有人留意的中央,病毒侵入系统后首先篡改注册表中的Image File Execution Options项,查找系统中装置的安保类软件并在此交流为自身。由此就出现了用户关上杀毒软件时丝毫没有反响或运转了其余程序,这时杀毒软件曾经被病毒屏蔽从新定向了,系统此刻调用进去的正是病毒。于是有用户不停点击杀毒软件宿愿能启动,却不知这是在不停运转病毒文件,直到最后少量病毒同时运转系统资源耗尽。可以说映像劫持技术为众多恶性病毒又提供了一条回避追杀的方法,理论的反病毒技术都会先从系统启动项、系统服务等处阻拦病毒开机智能运转。而一旦病毒应用IFEO技术劫持了杀毒软件以至开机后系统智能加载杀毒软件时却智能运转了病毒。同时,映像劫持实施容易,只需在Image File Execution Options项下多加一行代码就能劫持对应程序,可以说稍懂注册表的人都能做到。这就让人不得不担忧一些病毒制造者看到AV终结者大获成功后,纷繁将指标瞄准于此,造成映像劫持技术众多,相似的病毒将簇拥而出,网络安片面临严格要挟。因此以后要严密防范此技术的滥用,无法漫不经心。下周安保状况预警 高病毒称号:AV终结者(Win32.Troj.Poseidon)病毒类型:Win32病毒危害水平:★★★★☆中毒症状:鉴于AV终结者弱小的破坏力且极有或者衍生变种,本周继续预警。中断并破坏少量杀毒软件运转,感化可移动存储设施,无法进入安保形式,下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\监禁随机8位数字字母组成的.dll与同名.bat文件。处置方法:下载最新专杀(),及时更新杀毒软件严密监控。
ie7无法关上网页
最近有有网友反响在ie7更新之后,出现无法关上网页的状况,不要急,如今大家来看处置方法:如下设置 “设置”-“反黑客”(防火墙),”启用防火墙”点”设置”-“运行程序规定”里找到iexplore.exe进程后双击,弹出对话框删除外面一切规定,再点”预置(模块)”选用”准许一切”即可!From:
本站内容来源于网络,如不慎侵犯了您的权益,请联系我们将迅速删除。
