UC知道中了很诡异的广告病毒,瑞星、卡巴、360卫士都无用!
来源:百度知道 编辑:UC知道 时间:2024/05/26 17:59:00
最近中了一个非常诡异的广告病毒,系统过一段时间就会在电脑的左上角打开IE,然后自动输入搜索地址,自动点击广告,然后关闭,整个过程时间很快,用了正版卡巴斯基、正版瑞星、360安全卫生、木马清道夫、恶意软件清理助手均无任何作用,最后只好用天网防火墙阻止发来的各种各样的UDP的数据包,拦截日志为:
[10:11:11] 接收到 69.145.144.18 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 29775
该包被拦截。
[10:11:21] 接收到 24.136.63.186 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 5295
该包被拦截。
[10:12:04] 接收到 59.183.16.131 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 2410
该包被拦截。
-----------------------------------------
折腾了几天,最后用360卫士发现有两个可疑的系统服务,但在windows管理工具的服务里没有找到这两个服务
sqlservech c:\windows\sqlservech.dll
widanevent c:\windows\eventrep.dll
这两个服务原来一直没有,自从中了这个毒以后,搜索两个程序的地址,均没有找到,安全模式下也无法找到两个服务。
万般无奈的情况之下,我将卡巴斯基的主动防御打开,设置为最高级别,结果发现有可疑的操作
检测到
可疑操作:
Starting Interner Browser
运行进程(PID:1932):
C:\WINDOWS\System32\svchost.exe
<
[10:11:11] 接收到 69.145.144.18 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 29775
该包被拦截。
[10:11:21] 接收到 24.136.63.186 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 5295
该包被拦截。
[10:12:04] 接收到 59.183.16.131 的 UDP 数据包,
本机端口: 16001 ,
对方端口: 2410
该包被拦截。
-----------------------------------------
折腾了几天,最后用360卫士发现有两个可疑的系统服务,但在windows管理工具的服务里没有找到这两个服务
sqlservech c:\windows\sqlservech.dll
widanevent c:\windows\eventrep.dll
这两个服务原来一直没有,自从中了这个毒以后,搜索两个程序的地址,均没有找到,安全模式下也无法找到两个服务。
万般无奈的情况之下,我将卡巴斯基的主动防御打开,设置为最高级别,结果发现有可疑的操作
检测到
可疑操作:
Starting Interner Browser
运行进程(PID:1932):
C:\WINDOWS\System32\svchost.exe
<
病毒调动了一些内核函数隐藏了这两个服务,下个狙剑www.zhulinfeng.com全面检查,特别是SSDT_hook,用数字签名验证!没有被验证的是问号的,你用右键单击就有数字签名验证,凡是红色打X的都可以视作垃圾处理,除非是你认识的东西!它有路径显示的!数字签名只能验证内核,进程,模块,启动项!
首先把这两个服务禁用,使它不能随系统启动,然后再查毒.
用最新的黄山IE修复软件,在安全模式用,杀完修复,最后在永久免疫就OK了!
重装下系统就一切OK啦
试试IceSword