[心得] 新的hao123綁架病毒
前幾天因為亂抓網路上的乾淨雲,下載到了hao123新的綁架病毒……
導致了我的Chrome和IE都被綁架和跟它奮鬥的一個晚上 orz
這次我中的hao123綁架病毒比較特別,好像是比較新的變種病毒,
在網路上還沒有多少討論,所以發在這邊給大家做相關的參考。
--
那這次的綁架病毒除了會在chrome和IE的路徑後面加上hao123的網址以外
(刪除此路徑沒用),
它還會在 C:\Windows 這個路徑下新增 guardapi.dll 和 亂碼的.sys 兩個檔案,
如圖:http://i.imgur.com/DF4anwJ.jpg
,
這兩個檔案都被加密過,因此我的卡巴斯基掃不出來病毒。
guardapi.dll 和 生成的亂碼.sys 的共同的特徵是修改日期是一樣的,
仔細比對一下應該滿容易找得出來。
然後在一般運作的模式下沒辦法刪除,會顯示運作中之類的,
用強制刪除工具也會出現錯誤。
我的解法是進入安全模式 or Win PE系統下找出這兩個檔案刪除後,
再用RogueKiller掃過一遍清除,重開機就恢復正常了。
--
在這邊要讚嘆一下RogueKiller這個程式XD,
會發現這兩個檔案有問題是因為在用RogueKiller掃的時候,
掃到 guardapi.dll 時卡住不動。
覺得這檔案大有問題,刪除後再用RK掃,
掃完就看到有關瀏覽器的lnk都被綁架了,hao系列都跑出來了 囧,
RK就幫我刪除了這樣XD。
希望以上會幫助到一些人~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.116.50.10
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1486639785.A.215.html
※ 編輯: singlecelled (150.116.50.10), 02/09/2017 19:30:48
推
02/09 23:16, , 1F
02/09 23:16, 1F
推
02/10 08:46, , 2F
02/10 08:46, 2F
推
02/10 10:45, , 3F
02/10 10:45, 3F
推
02/10 11:52, , 4F
02/10 11:52, 4F
→
06/06 21:17, , 5F
06/06 21:17, 5F