XueTr下载贴: /thread-384301-1-1.html 磁碟机病毒下载贴:/viewthread.php?tid=365919&extra=&page=1 运行磁碟机病毒,1分钟后,运行XueTr,提示有线程注入到XueTr了,对这种提示您一定要小心了,您的系统可能有问题了,如下图:
下载 (7.47 KB)
2009-2-16 13:10
点是干掉这个线程,磁碟机病毒会往每个进程里注入dnsq.dll模块,要安全卸载这个模块,初步需要注意两点: 1.这个模块是否启动线程 2.这个模块是否挂钩子 磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程),你要把它结束掉,或者把这些注入的线程暂停了,由于磁碟机病毒会在自己线程被结束后,重启一个线程,因此这里选择暂停这些线程,下图显示了所有注入的XueTr的线程(另外一个常识就是:XueTr工具一般只有一个线程,而且你每次看线程的时候,线程状态为”正在运行“的那个线程就是XueTr的工作线程,其它的线程都可以干掉):(由于我不太清楚磁碟机病毒的线程注入原理,因此对这种线程注入不知道咋防)
下载 (47.76 KB)
2009-2-16 13:10
暂停这些线程,然后扫描XueTr的钩子(钩子---->应用层钩子,我可以很自豪的说,XueTr目前提供了比较强大的应用层钩子检测能力),扫描结果见下图:
下载 (15.63 KB)
2009-2-16 13:10
很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数,右键恢复它们俩, OK,现在您可以去安全的卸载注入到XueTr中的dnsq.dll了,见下图:
下载 (52.88 KB)
2009-2-16 13:10
到此为止,dnsq.dll已经被安全的卸载,XueTr的各项功能不受影响。
卸载其它进程里的模块,大致过程也是这样的。
另:XueTr新版已经具备一定的容错能力,您即使不恢复那两个钩子,程序也不会崩溃了,只是进程部分功能不好使。
XueTr(简称XT)是最近崛起的一款功能强大的Anti-Rootkit工具。
她于去年年末首发于卡饭辅助区,短短几个月,更新了数十个版本,已成为一款不输于IceSword、狙剑的杀毒利器。
她以稳定、兼容性强受到了很多坛友的欢迎。
可以说,本区的各位坛友一起见证了XT的成长。
在大家的关注下,XueTr的易用性也不断改善。
如果使用得当,可以完全摆脱SREng、AutoRuns等辅助工具,单用XueTr就可以搞定流行病毒。
下面以几个最近或曾经流行的病毒(多个样本同时运行)为例,分享一下我使用XueTr处理病毒的思路。
测试环境:VMWare+Windows XP SP2(由于实机运行部分样本蓝屏,或者效果不明显,采用虚拟机测试)。
为了体现XueTr的强大功能,清理过程尽量不使用其它辅助软件(如SREng、AutoRuns、Windows清理助手等),也不事先分析样本动作,只是在最后使用这些工具检查清理效果
手杀ev.exe过程
这个ev.exe是最近比较流行的网马。
它的查杀过程已经有很多高手研究过了,不过下面单用XueTr清理此病毒。
运行ev.exe,不干扰其运行。
几分钟后,病毒基本稳定了,不再出现生成物,运行XueTr,查看进程(见下图)。
下载 (79.05 KB)
2009-4-29 12:52
重启系统,运行XueTr,弹出线程注入提示
下载 (8.23 KB)
2009-4-29 12:52
选择是,杀掉注入线程。
打开界面后进一步检查查看XueTr线程信息,只有一个线程,XueTr未被注入线程。
下载 (64.77 KB)
2009-4-29 12:52
右键选择“在下方显示模块窗口”,发现XueTr被插入了一堆dll文件,删除并卸载注入的dll,防止干扰XueTr工作。
注:出现删除失败一般是由于文件不存在,XueTr卸载多个dll时有时会出现退出,这个很正常,再次运行即可.
Friendhosting发布了今年黑色星期五促销活动,针对全场VDS主机提供45折优惠码,虚拟主机4折,老用户续费可获9折加送1个月使用时长,优惠后VDS最低仅€14.53/年起,商家支持PayPal、信用卡、支付宝等付款方式。这是一家成立于2009年的老牌保加利亚主机商,提供的产品包括虚拟主机、VPS/VDS和独立服务器租用等,数据中心可选美国、保加利亚、乌克兰、荷兰、拉脱维亚、捷克、瑞士和波...
hostsailor怎么样?hostsailor成立多年,是一家罗马尼亚主机商家,机房就设在罗马尼亚,具说商家对内容管理的还是比较宽松的,商家提供虚拟主机、VPS及独立服务器,今天收到商家推送的八月优惠,针对所有的产品都有相应的优惠,商家的VPS产品分为KVM和OpenVZ两种架构,OVZ的比较便宜,有这方面需要的朋友可以看看。点击进入:hostsailor商家官方网站HostSailor优惠活动...
Bluehost怎么样,Bluehost好不好,Bluehost成立十八周年全场虚拟主机优惠促销活动开始,购买12个月赠送主流域名和SSL证书,Bluehost是老牌虚拟主机商家了,有需要虚拟主机的朋友赶紧入手吧,活动时间:美国MST时间7月6日中午12:00到8月13日晚上11:59。Bluehost成立于2003年,主营WordPress托管、虚拟主机、VPS主机、专用服务器业务。Blueho...