加载中…
个人资料
一问
一问
  • 博客等级:
  • 博客积分:0
  • 博客访问:12,317
  • 关注人气:27
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

不期而遇杀sysanti.exe

(2009-06-12 08:32:14)
标签:

杂谈

分类: 粗看经济
        这么多年来了,真正被病毒搞事的只有两次。为了防范不期而遇的病毒,偶用的PC一般都是两重保护,还原软件+杀毒软件。那次CIH刚出,穿透了冰点的保护,一开机就关机,只好重新格式化。另一次是CIH的变种sysinit,就着网上的步骤,一步一步解决了。
      上周五下班后,解开硬盘保护,一边装软件,顺便升级病毒库,一边做饭去了。小家伙一回家,直奔本本,打开游戏……等发现时已经中招了。sysanti.exe,是项目成员给我拷文件时带来的,最明显的迹象是在根目录下多了两个文件:sysanit.exe和autorun.inf。当时没在意,反正只要穿不透保护,就当是空气,没防范意识很久了。
       上网想查查,发现一输入sysanti.exe就自动关闭IE,其他软件也一样。iecSword还有好几个常用工具都被屏蔽了。只好用台式机查。才知道这个东东是5月下旬才出现的,偶可真赶上时髦了。查来查去,都说除了重装没有办法杀干净。但获知了一般的装入过程和在windows\fonts目录有关键的随机命名.fon文件,删掉那些文件,就是死马了。但删掉后时,总是删了又生成,说明内存有病毒,用taskinfo一查sysanti.exe就被关闭。
     用google查的时候,有个杀马软件可杀列表里有sysanti.exe,下限时版,安装、升级、扫描。一边在taskinfo里用sysa*.exe查出内存里哪个进程调用了sysanit.exe,直接杀掉了一个svchost.exe,还发现调用的sysanit.exe原来在program files\common之下,杀完也删掉。然后转到windows\fonts目录,把凡是当天才生成的文件全部删除。再把所有硬盘目录的sysanit.exe和autorun.inf全部删掉。重启再看看,再不见会自动生成病毒文件了。
     发现杀完之后有新发现,一是有些程序的功能死掉了。具体也不知是有由于杀毒软件的错杀,还是被病毒注入了。但后来都没发现病毒文件了。第二是mcafee还是起了作用,拦住了很多试图写入可执行文件的行为。不然估计死得更难看。

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有