-
-
[旧帖]
[求助]帮忙分析一下病毒残留文件
0.00雪花
-
发表于:
2010-2-20 22:22
1750
-
[旧帖] [求助]帮忙分析一下病毒残留文件
0.00雪花
前两天中了一个病毒,估计是一个下载者,眨眼间下载了好多个木马,重启后杀毒软件打不开,后来打开瑞星卡卡上网助手清理恶评插件后能用杀软了,然后重启查杀了好多次才基本上清楚完病毒,现在有一个后遗症是每次开机会启动一个文件夹,就是c盘windows \system32,我用sreng检查一下,貌似没什么启动项,检查hook有问题,好像它hook的不是杀软,详细信息见附件
API HOOK
入口点错误:NtCreateFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtCreateProcess (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtCreateProcessEx (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtDeleteFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtLoadDriver (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:NtSetInformationProcess (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
入口点错误:ZwCreateFile (危险等级: 一般, 被下面模块所HOOK: C:\WINDOWS\system32\guard32.dll)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课