第一次遇到AV的时候,是一个朋友说自己的电脑的瑞星不能打开。
习惯性的修改文件夹文件查看属性,可是怎么修改也不能打开隐藏项
运行,cmd进入console界面,d:盘,然后dir /a查看到了两个隐藏的文件
看到一个autorun.inf和一个xxx.exe,觉得可疑
用edit代开autorun.inf看,里面的启动项就很明显了,这个肯定是病毒生成的,xxx.exe是病毒的执行保护体
习惯性的修改文件夹文件查看属性,可是怎么修改也不能打开隐藏项
运行,cmd进入console界面,d:盘,然后dir /a查看到了两个隐藏的文件
看到一个autorun.inf和一个xxx.exe,觉得可疑
用edit代开autorun.inf看,里面的启动项就很明显了,这个肯定是病毒生成的,xxx.exe是病毒的执行保护体
然后用attrib -h -s -r 修改属性,再del掉,不过一会dir /a的时候,又出现了。。
由于时间急,没由的我多想,只好把C盘格式化了,然后第一次启动的时候,没有进入d:
直接用前面的办法把d里面的东西删除了,不过这次也是巧合吧,把隐藏在c盘里面的病毒源给删除了,重转以后注册表也没变。不过这次算是小小的逃避吧。。。
第二次和AV相遇
没过几天,她们宿舍的另一个女生的电脑又说中病毒了
打开电脑一看,又是同样的问题,这次觉得这个好玩,一定要好好的搞一下,呵呵
由于手里面没有工具,于是找到了ss,他那里有工具
跑到实验室,找到了ss,
一上来就用他电脑里面的regedit倒出来,导入到中AV的电脑里面,可以查看隐藏项了
然后用PrcView查看进程,一看就看到了注入到其他进程里面的xxxx.dll,找到了。。
然后以此停止这些进程
删掉xxx.exe 和autorun.inf
还没完,得找到它隐藏的病毒源,
到c盘搜索,找到了它的启动项和根源
又修改regedit,又用Autoruns修改启动项
重启,搞定。。。。