用WinHEX远程查杀顽固病毒
文章作者:Helvin [E.S.T 顾问团]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
有个Win2003,跑的服务器不重要,打了补丁很久没重启,前几天蓝屏过,导出蓝屏dmp文件windbg分析,发现Ipnat.sys引起,因为还有其他事情要忙,当时没太在意。今天一看竟然成了肉鸡,疯狂想德国法国的一些80、442、25端口发送包,抓包分析,基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面
冰刃等一些都是“不是有效的win32程序”,杀毒软件更别说了。驱动隐藏驱动、程序、注册表,病毒体、驱动、注册表防删除保护,文件文件夹隐藏设置失效。。。。,因为是远程杀毒,安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex,当时爆破一个小软件的时候用的,顺手打开硬盘,找到隐藏的病毒,直接对相应硬盘区域写0,重启。
残留文件删除,注册表清除一下,干净了
是么 :)
貌似有危险 “找到相应的磁盘区域写0” 这个操作是不是危险了点哦 因为是在系统盘 如果一个不小心把其它的文件给覆写了 那不就完了
这是个不错的思路。请问你用的winhex是什么版本的,曾经我也想直接对磁盘区域操作,试了好几个winhex的版本,都操作不了,可能是winhex软件破解不好,功能有限制。不知道你用的是哪个版?或者有没有其他同类软件能够直接操作磁盘区域的就像winhex。