今天处理了一个Adware.Dinkum.a,很郁闷
今天帮朋友处理了一台Adware.Dinkum.a的机器,挺郁闷的,把我处理过程写下来,大家帮助帮助我。
现象:瑞星监控不停的提示发现Adware.Dinkum.a病毒,反复查杀不净;
处理过程:
1、先拿IceSword发现一个可疑的1.dll(假设名字叫1.dll)文件注进rundll32.exe,在系统中加载,
2、用3.3版的瑞星听诊器看这个1.dll的具体内容,发现它就是负责干脏活儿的,
3、搜索注册表发现HKEY_CLASSES_ROOT\CLSID下注册了两个键
3、瑞星查杀此文件报Adware.Dinkum.a,
4、删除注册表键值,用KILLBOX把此文件删除,重启
5、
问题依旧!!!6、发现这个1.dll变了个其他文件名,工作状态和上次的一样,判断是有保护这个孙子的东西
7、在system32下查了查最近修改的文件,发现了另外一个可疑的2.dll(假设叫2.dll)文件
8、通过IceSword查看发现它被注进了winlogon,于是在注册表中将winlogon中它的键值删除,可是才删除,它马上又建立了,看来它对自身加了注册表监视的保护
9、通过killbox删除它,失败
10、急了,拿ERD启动删除了这些文件,又清了注册表键值,重启,正常了。
处理这个东西挺郁闷的,因为借助了ERD光盘,不知道哪位大侠能有更好的办法,救大众于水火之中,因为工具软件好下载,ERD确不是每人都有的。
