| 引用: |
【西门吹牛的贴子】谢谢猫叔用宝贵的时间为网友服务!
热切关注后续!
……………… |
下午再次运行样本,只在system32文件夹释放SVCH0ST.EXE和norton.sys。
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加启动项:
ravshell(指向 C:\windows\system32\SVCH0ST.exe)
重启系统,发现norton.sys通过SVCH0ST.exe加载,加载后即被自动删除。
重复两次,结果相同(死活不再下载其它木马)。
结束SVCH0ST.exe进程。删除SVCH0ST.exe启动项,删除SVCH0ST.exe文件。完事。
