欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一次艰苦的病毒查杀过程

来源:转载 作者:佚名 时间:2005-09-23 TAG: 我要投稿
朋友今天中了一个病毒W32.Jeefo,病毒可以让文件空间变大,并且病毒的传染性很高,牵扯的面积也很广。有的朋友可能首先想到的是杀毒软件,比如瑞星,但是我们有一点没有考虑到,杀毒软件的功能是直接清除病毒或者隔离,但是如果直接清除可能会损坏一些文件,而且朋友的个人服务器以及编写了1个月的程序都感染了该病毒,所以更不能那样做。考虑的是能是先找下专杀,或者考虑找到病毒的资料然后去手动杀毒,有了这个思路以后我开始进行杀毒措施了。

  打开了瑞星官方网站www.ruising.com.cn寻找了下病毒库的资料,没有找到这个病毒的资料。郁闷啊,怎么连瑞星的杀不了?别的杀毒软件我也没有去试。直接到了百度搜索,经过一些了解,知道了病毒的名字叫“杰夫”杰夫病毒是个在内存下的病毒,如果运行了该病毒,会自身拷贝到windows根目录下并且命名为“svchost.exe  %WinDir%\svchost.exe,然后在注册表中添一个键值[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]"PowerManager" = "%Windir%\svchost.exe"

  每次重启,这个病毒的副本都将随着运行,病毒查找受感染计算机的逻辑分区中以exe为扩展名的win32 PE可执行文件,感染的文件大小增加36352个字节。

  看到了病毒的介绍心里有了点认识,这个介绍是卡巴斯基发出来的,但是没有找到专杀工具,郁闷。看来只能手工了,根据病毒的情况问了些人,帮助工具下载http://beta.activeupdate.trendmicro.com/fixtool/fixtool.zip

  解決方案:

  1.禁止使用系统还原

  2.重启到VGA模式或安全模式

  3.运行norton的病毒扫描程序,进行全盘杀毒,如果检测到任何病毒,删

  4.进入注册表备份下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN,把右边的值"PowerManager"="%windir%\svchost.exe"删掉然后重启。

  忘了说一点,弄好了以后一定要记住去打个win32的补丁。这次弄这个病毒费了很大的劲,因为我用瑞星习惯了。从这次杀毒我想以后要多学下注册表的知识了,因为很多病毒需要去注册表里杀,杀毒软件。虽然可以杀病毒,但是很可能造成一些损失。如果会手工杀的话就好了。


【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载