作者singlecelled (單細胞)
看板AntiVirus
標題[心得] 新的hao123綁架病毒
時間Thu Feb 9 19:29:42 2017
前幾天因為亂抓網路上的乾淨雲,下載到了hao123新的綁架病毒……
導致了我的Chrome和IE都被綁架和跟它奮鬥的一個晚上 orz
這次我中的hao123綁架病毒比較特別,好像是比較新的變種病毒,
在網路上還沒有多少討論,所以發在這邊給大家做相關的參考。
--
那這次的綁架病毒除了會在chrome和IE的路徑後面加上hao123的網址以外
(刪除此路徑沒用),
它還會在 C:\Windows 這個路徑下新增 guardapi.dll 和 亂碼的.sys 兩個檔案,
如圖:
http://i.imgur.com/DF4anwJ.jpg ,
這兩個檔案都被加密過,因此我的卡巴斯基掃不出來病毒。
guardapi.dll 和 生成的亂碼.sys 的共同的特徵是修改日期是一樣的,
仔細比對一下應該滿容易找得出來。
然後在一般運作的模式下沒辦法刪除,會顯示運作中之類的,
用強制刪除工具也會出現錯誤。
我的解法是進入安全模式 or Win PE系統下找出這兩個檔案刪除後,
再用RogueKiller掃過一遍清除,重開機就恢復正常了。
--
在這邊要讚嘆一下RogueKiller這個程式XD,
會發現這兩個檔案有問題是因為在用RogueKiller掃的時候,
掃到 guardapi.dll 時卡住不動。
覺得這檔案大有問題,刪除後再用RK掃,
掃完就看到有關瀏覽器的lnk都被綁架了,hao系列都跑出來了 囧,
RK就幫我刪除了這樣XD。
希望以上會幫助到一些人~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.116.50.10
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1486639785.A.215.html
※ 編輯: singlecelled (150.116.50.10), 02/09/2017 19:30:48
1F:推 popbitch: 非官方百度雲不是都被封了 02/09 23:16
2F:推 allen65535: 推分享 02/10 08:46
3F:推 gamesame7711: 02/10 10:45
4F:推 rzhen777: 請360出來處理呀 XD 02/10 11:52
5F:→ shoming9: 我可能也是這樣 可惜不知為啥不能進安全模式 還是得重灌 06/06 21:17