作者singlecelled (单细胞)
看板AntiVirus
标题[心得] 新的hao123绑架病毒
时间Thu Feb 9 19:29:42 2017
前几天因为乱抓网路上的乾净云,下载到了hao123新的绑架病毒……
导致了我的Chrome和IE都被绑架和跟它奋斗的一个晚上 orz
这次我中的hao123绑架病毒比较特别,好像是比较新的变种病毒,
在网路上还没有多少讨论,所以发在这边给大家做相关的参考。
--
那这次的绑架病毒除了会在chrome和IE的路径後面加上hao123的网址以外
(删除此路径没用),
它还会在 C:\Windows 这个路径下新增 guardapi.dll 和 乱码的.sys 两个档案,
如图:
http://i.imgur.com/DF4anwJ.jpg ,
这两个档案都被加密过,因此我的卡巴斯基扫不出来病毒。
guardapi.dll 和 生成的乱码.sys 的共同的特徵是修改日期是一样的,
仔细比对一下应该满容易找得出来。
然後在一般运作的模式下没办法删除,会显示运作中之类的,
用强制删除工具也会出现错误。
我的解法是进入安全模式 or Win PE系统下找出这两个档案删除後,
再用RogueKiller扫过一遍清除,重开机就恢复正常了。
--
在这边要赞叹一下RogueKiller这个程式XD,
会发现这两个档案有问题是因为在用RogueKiller扫的时候,
扫到 guardapi.dll 时卡住不动。
觉得这档案大有问题,删除後再用RK扫,
扫完就看到有关浏览器的lnk都被绑架了,hao系列都跑出来了 囧,
RK就帮我删除了这样XD。
希望以上会帮助到一些人~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 150.116.50.10
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1486639785.A.215.html
※ 编辑: singlecelled (150.116.50.10), 02/09/2017 19:30:48
1F:推 popbitch: 非官方百度云不是都被封了 02/09 23:16
2F:推 allen65535: 推分享 02/10 08:46
3F:推 gamesame7711: 02/10 10:45
4F:推 rzhen777: 请360出来处理呀 XD 02/10 11:52
5F:→ shoming9: 我可能也是这样 可惜不知为啥不能进安全模式 还是得重灌 06/06 21:17