病毒sachost.exe修改系统时间解决办法[图后补]

2007年7月6日 | 分类: 病毒分析 | 标签: , , ,

开始放假了,病毒也开始泛滥了,估计每天出现的速度要比以前多很多,在此提醒大家杀软勤升级,浏览各种网站注意机器自身安全.最近几天连续清理2台机器的病毒,症状如下

任务管理器出现:
SACHOST.EXE
perfne.exe
iexplore.exe
rundll32.exe(2个)
系统时间被修改为2099-01-01
不定时运行:
sos.exe
bobo.exe
qoq.exe
cmd.exe

好像这个病毒没有几家报,起码我手中的工具都不报,由于最近事情比较多,清理的时候忘记备份样本了,一大损失.解决办法如下:

1.由于属于rootkit先禁止创建运行任何文件
2.结束病毒进程SAChost.exe和iexplorer.exe及两个Rundll32.exe进程
3.搜索删除如下文件:
D:\WINNT\system32\MPG4C32.exe
D:\WINNT\system32\inetres.exe
d:\winnt\system32\sscvlsrv.dll
D:\WINNT\system32\eventrep.dll
D:\WINNT\system32\bobo.exe
D:\WINNT\system32\sos.exe
d:\winnt\system32\wbem\sachost.exe
d:\winnt\system32\wbem\perfne.exe

4.清理internet临时文件和临时目录文件夹
5.修改为正常系统时间

此行收获颇丰,不但在清理其中一台机器的时候意外发现了前一阵闹的不太凶的”番茄花园”感染型病毒的真面目还抓了条新viking蠕虫,此虫感染手法不变还是模仿生成uninstall文件夹和rundll.exe,rich32.dll文件,只是感染文件地址变更,清理也简单.这个世界病毒真疯狂,照这个情况看,今年这几个月又不好过,看多了就腻了,讨厌病毒sleepy

  1. hehe
    2007年7月26日07:52

    本人菜鸟,问一下,如何“禁止创建运行任何文件”在2000系统下?谢谢!

    • viphjw
      2007年7月26日08:43

      利用专业工具

  2. wulm
    2007年7月9日22:17

    还是要回来说声谢谢

  3. 2007年7月7日14:27

    其实这个有些复杂。

    如果是专业版的XP,为了防止它修改时间,可以修改策略组,不给任何用户分配修改时间的权限,然后我们的卡巴斯基就可以正常的搞定它了。

    所谓瑞星,多次事件之后,得出结论,他的确很垃圾……

    记得Autorun病毒刚出来的时候,瑞星不报警,大概2个星期之后才可以查出来。而卡巴斯基当时就可以查杀。

    • viphjw
      2007年7月7日18:41

      那机器没杀软,改时间无所谓.如果是rootkit有时不行

  4. 1qazxsw2008
    2007年7月7日14:14

    其实用一个兼容性不是很好的浏览器就好了。
    如opera8.54。
    我的瑞星,一星期升级一次。
    中病毒的话
    都是用ie中的。。。。。。
    grin

    • viphjw
      2007年7月7日18:40

      只要你机器有IE中病毒照样调用

  5. wulm
    2007年7月7日12:37