| 引用: |
【孤独更可靠的贴子】
哈哈,这东西没有任何启动项啊,依附被感染程序执行的
前几个星期有遇到个,最近可能又疯狂更新了~
……………… |
有启动项。
如果用恰当的工具(具体的工具名就不说了)阻止病毒程序LSASS.EXE和SMSS.EXE运行,重启系统后,那工具会报告C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe试图加载运行。用该工具阻止~.exe运行,即可捉到~.exe这个“鬼”。
此时,用SRENG,可见“启动文件夹”栏下有指向C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe的内容。
我推测:这个启动加载项可能是关机前写入,或者是每次系统启动时重新写入;待~.exe加载运行并完成其任务后,该加载项连同那个~.exe又被病毒程序删除了。
所以,如果不用特殊手段,一般情况下,即使SRENG侥幸能够运行,中毒的用户用SRENG也扫不到此毒的加载项。
