对联式悲哀 » 日志 » 又和病毒奋战了几天
又和病毒奋战了几天
MaaJiaa 发表于 2007-12-20 18:20:57
csrssddv.exe ——其实我也不知道到底是不是病毒,
拿卡巴最新的病毒库对着它扫描也不报警,
但是google说它是病毒,姑且相信google,手工杀之..
继续上网找,找到这篇手工清楚地方法:
http://hi.baidu.com/starice/blog/item/873994ef287874ecce1b3e8e.html
可是发现除了c:\windows\csrssddv.exe
和系统服务[WindowsDeamonSSL_ALU] <C:\WINDOWS\csrssddv.exe>
其他都对不上号...就当作我中毒只中了一半吧...
手动删掉csrssddv.exe,用sreng删掉对应的系统服务,再扫了一遍log,
看得发黑眼晕了也没再看出什么问题,HOHO~`轻松搞定。
但是再注册表搜索WindowsDeamonSSL_ALU,却发现三个主键死活删不掉:
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
每个主键下的子键都差不多:
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
"NextInstance"=dword:00000001
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU#CONTENT#00]
"Service"="WindowsDeamonSSL_ALU"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WindowsDeamonSSL_ALU"
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU#CONTENT#00\Control]
"ActiveService"="WindowsDeamonSSL_ALU"
继续google + 百度 + *&@%$(^@……
折腾了两天才被我搞定:
原来所有形式为 legacy_xxx 的键值都是无法直接删除的。
据说有些病毒会利用这一点,不过个人觉得只要确定病毒文件和对应的系统服务已经删掉了,
这些legacy_xxx删不删好像没什么区别。
删除方法其实很简单:
先修改注册表权限:编辑——权限——把Everyone的“完全控制”钩上
然后再删除or修改键值就可以了。
(土了,头一次发现原来注册表也有权限...)
===================================
顺带发现一个叫TesSafe.sys的腾讯公司的“驱动”
一个聊天软件而已,居然到了要写驱动级保护的地步,匪夷所思!
难怪国外的杀毒软件一到中国都要把腾讯当作病毒/木马报警...
拿卡巴最新的病毒库对着它扫描也不报警,
但是google说它是病毒,姑且相信google,手工杀之..
继续上网找,找到这篇手工清楚地方法:
http://hi.baidu.com/starice/blog/item/873994ef287874ecce1b3e8e.html
可是发现除了c:\windows\csrssddv.exe
和系统服务[WindowsDeamonSSL_ALU] <C:\WINDOWS\csrssddv.exe>
其他都对不上号...就当作我中毒只中了一半吧...
手动删掉csrssddv.exe,用sreng删掉对应的系统服务,再扫了一遍log,
看得发黑眼晕了也没再看出什么问题,HOHO~`轻松搞定。
但是再注册表搜索WindowsDeamonSSL_ALU,却发现三个主键死活删不掉:
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
每个主键下的子键都差不多:
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU]
"NextInstance"=dword:00000001
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU#CONTENT#00]
"Service"="WindowsDeamonSSL_ALU"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WindowsDeamonSSL_ALU"
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWSDEAMONSSL_ALU#CONTENT#00\Control]
"ActiveService"="WindowsDeamonSSL_ALU"
继续google + 百度 + *&@%$(^@……
折腾了两天才被我搞定:
原来所有形式为 legacy_xxx 的键值都是无法直接删除的。
据说有些病毒会利用这一点,不过个人觉得只要确定病毒文件和对应的系统服务已经删掉了,
这些legacy_xxx删不删好像没什么区别。
删除方法其实很简单:
先修改注册表权限:编辑——权限——把Everyone的“完全控制”钩上
然后再删除or修改键值就可以了。
(土了,头一次发现原来注册表也有权限...)
===================================
顺带发现一个叫TesSafe.sys的腾讯公司的“驱动”
一个聊天软件而已,居然到了要写驱动级保护的地步,匪夷所思!
难怪国外的杀毒软件一到中国都要把腾讯当作病毒/木马报警...
收藏:
QQ书签
del.icio.us
订阅:
Google
抓虾
