123   3  /  3  页   跳转

一个奇怪的东西

收藏
鲸鱼一号
头像
初生襁褓狮
  • 帖子:37
  • 注册: 2006-06-03
  • 来自:
发表于: 2006-06-03 22:09 | 只看楼主 短消息 资料
字号: 21楼

不好意思,刚刚忙着发,漏看了,我找不到C:\DOCUME~1\totti\LOCALS~1\Temp\SVCH0ST.EXE进程阿
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-06-03 22:27 | 短消息 资料
字号: 22楼

引用:
【鲸鱼一号的贴子】小弟我遇到一个奇怪的东西,每次开机,瑞星监控程序就警报说检测到一个病毒
该病毒为RootKit.AntiHide.b
路径为c:\WINDOWS\system32\
文件名是vook.sys
但当我全面杀毒后却没有显示有病毒,但每次开机都有同样的事发生,不知道是什么原因,希望各位大哥大姐帮帮忙,小弟在这谢谢了
...........................

.sys是驱动程序,有些木马也用驱动。
建议用autoruns扫日志,按下图所示找vook.sys的注册表项。找到后,记住其路径,然后删除这个注册表项。
重启。
再按刚才记住的路径找到vook.sys,删除。

附件附件:

下载次数:303
文件类型:image/pjpeg
文件大小:
上传时间:2006-6-3 22:27:48
描述:
预览信息:EXIF信息
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-06-03 22:28 | 短消息 资料
字号: 23楼

vook.sys的驱动项,上次见过一次,Autoruns日志上的确是在版主所说的Services项目中。
不过好像删了那个C:\DOCUME~1\totti\LOCALS~1\Temp\SVCH0ST.EXE,而vook.sys又被瑞星杀掉后,这个病毒就玩完了,到那时这个注册表驱动项也就变成垃圾而已了。
gototop
 
鲸鱼一号
头像
初生襁褓狮
  • 帖子:37
  • 注册: 2006-06-03
  • 来自:
发表于: 2006-06-03 22:29 | 只看楼主 短消息 资料
字号: 24楼

怎么用autoruns扫日志阿
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-06-03 22:33 | 短消息 资料
字号: 25楼

先点Options-Hide Microsoft Entries,然后刷新一下,再点Files-Save。
gototop
 
鲸鱼一号
头像
初生襁褓狮
  • 帖子:37
  • 注册: 2006-06-03
  • 来自:
发表于: 2006-06-03 22:48 | 只看楼主 短消息 资料
字号: 26楼

多谢大家了,我重启之后就没有监控警报了,谢谢大家了
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT