面对3721(雅虎助手),我无话可说……
我觉得像3721这样的木马先河,用卡卡助手根本无法删除。它的自我防护技术足可以把整个系统搞掉,下面是我测试3721时的情形:
[所用工具]System Safety Monitor , ProcessGuard ,IceSword.
[过程]
1、运行assistant4.exe
2、SSM和PG拦截其运行(这里先放行它。)
3、开始安装。
4、突然,SSM报启动项添加:
CnsMin="rundll32 C:\Progra~1\yahoo!\assistant\cnsmin.dll,rundll32"
服务项:
cnsMin (被阻止)
然而,这只是一个假象,真正的阴谋在这里:
5、PG拦截到了一个驱动CnsMinKp="%system%/cnsMinKp.sys"!原来,这个玩意儿竟然在搞驱动,而且好像是一个厉害点儿的驱动。
6、安装界面报“安装失败!”
7、暗地里想运行它的主程序(用DLL注入),被SSM拦截。
8、启动项,浏览器项反复添加,注册表多处改动,都被SSM拦截,直至消耗尽系统资源导致系统死机。
9、重启系统,用IS查看进程模块,无3721的任何DLL,看来是一个空壳了。
10、用正常删除模式删除C:\Program Files\yahoo!\文件夹,成功删除。
11、清空C:\windows\downlo~1\文件夹时内容,成功清除。
------------------------------
后记:3721之所以能这样猖狂,原因就在那个服务和驱动上(尤其是驱动!)只要把这两个做下来,3721就好收拾了。
至于3721改动的注册表项太多,嫌麻烦,于是用GHOST恢复系统。
