|
手刃ssearch,就是出autolivefunc这个错误提示的 症状:开机后频繁出现 autolivefunc 这个错误 弹出菜单。
运行regedit搜索ssearch,发现有注册项,删除整个ssearch,发现只要一刷新,自己恢复注册表项,根据注册表项里面的建值,发现有一个 autolive.sys autolive.dll 还有一个dword值为3721的注册码,点击开始-搜索-文件或文件夹输入autolive.sys 和dll 发现没有找到相关文件,怀疑是另外文件生成,当我删除ssearch注册项的时候,程序自己生成相关文件,并且金山提示
发现病毒在: C:\WINDOWS\system32\winup\eoxfzp21.dll
病毒名:Win32.Troj.Downloader.cn.45056 病毒类型: 其他病毒 处理结果: 删除 然后紧接着出现autolive访问网站下载相关文件 提示出现网址 和autolive.ini 下载成功 升级成功 随后又开始弹出窗口出现autolivefunc 问题依旧
尝试解决:运行删除增加文件 没有找到ssearch 和其他可疑项 运行regedit 除了ssearch有注册其他的文件eoxfzp21.dll autolive.sys autolive.dll 等均未发现
运行HijackThis.exe 也未发现可疑项目运行360未发现和ssearch相关项目 只有一个
实用网址导航(酷站导航)c:\windows\system32\advport.dll
类别:广告软件
恶意表现:强制安装、弹出广告、无法彻底删除
出品公司:上海来网广告公司
运行360清除,提示清除干净,结果重新启动又出来。
运行一刀切Behead.exe 未发现可疑项
运行卡卡和360一样效果
分析原因删除ssearch注册项后,驻留在内存,这个驻留没有具体文件,可能是插在关键进程里的调用因为我尝试终止所有进程除了关键进程,在内存中监视注册表,发现ssearch相关注册项不存在,以为主体文件被破坏,然后自己生成 C:\WINDOWS\system32\winup\eoxfzp21.dll 并且恢复ssearch注册项,
而此时 C:\WINDOWS\system32\winup\eoxfzp21.dll 被金山杀掉,
其他的恶意表现无法正常出现,但是同时注册表被恢复以及相关的文件被升级,
这个时候检测 C:\WINDOWS\system32\winup\eoxfzp21.dll 发现这个文件不存在
也就是注册表有病毒项,相关当病毒招到破坏后恢复的程序正常执行,而具体病毒表现的文件被破坏,也就是为什么主页没有被修改和没有乱弹出页面的原因,而只出现弹出窗口提示autolivefunc 错误。
解决方法 : 在桌面新建一个 空的.txt文件(把扩展名也显示出来) 然后改名advport.dll 然后复制到 c:\windows\system32
如果你的windows默认目录不是这个请自行更换。
然后运行regedit 搜索 ssearch 删除整个ssearch建
至此全部问题解决。
后记:虽然解决了问题,而且对此病毒有一定的免疫,但是如果出现新的变种就难说了,
而且文件名换了 的话 需要大家自己查找 当然编写病毒的人也可以有办法防止这种解决方法我在此不对此解决方法做解析和评论,以免被人利用做出新变种。
此病毒做的非常巧妙, 360 卡卡拿他无能为力,其他的工具也没有好的办法
再此bs一下出产此流氓软件+病毒的公司 上海某某垃圾公司,还顺便bs一下3721。
|
