實戰防毒系列之手動查殺Netstart病毒(轉)

BSDLite發表於2007-08-15
實戰防毒系列之手動查殺Netstart病毒(轉)[@more@]  編者按:這裡所用到的各種手動查殺方法,具有一定的通用性。使用者在碰到類似情況的時候,可以試著使用這些方法,自行手動查殺。

  早上老闆的老闆叫我過去說他的IE出問題了。一開啟就彈出視窗跳到(注意:請勿點選)。我一開始並沒有當回事情,因為現在上網被修改了首頁太多見了。就用Upiea修復了一下,改成about:blank,覺得就沒問題了,沒想到重新啟動後,又被改了回去。

  也就是說,系統中招了,每次啟動的時候自動修改。執行msconfig,檢視啟動專案,發現了一個可疑專案systems.exe,應該就是它了。

  老闆說是今天早上中的招。開著卡巴斯基6.0,病毒庫到9.14,掃描過沒有報毒。於是我按照下面的步驟開始手動查殺的過程:

  1.Win+F,進入查詢視窗。搜尋檔案*.*,搜尋範圍定在c:winnt(這是Win2000的系統安裝目錄,如果是XP的話就是c:windows),限定日期在9.20--9.21。

  這種做法的用處是:木馬病毒之類通常都是在c:winnt跟c:winntsystem32下,所以查詢該目錄下的修改過的檔案就可以迅速定位到疑點。

  2.OK,查詢的結果有十多個,重點看exe dll pif等檔案。檢查後發現了四個疑點
CODE:
c:winntsystems.exe
c:winntsystem32 etstart.exe
c:winntsystem32 egshell.exe
c:winntsystem32winpub.reg

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-960299/,如需轉載,請註明出處,否則將追究法律責任。

實戰防毒系列之手動查殺Netstart病毒(轉)
請登入後發表評論 登入
全部評論

相關文章