订阅
上一篇
下一篇
msrundll.exe分析与查杀
作者:hesper 日期:2007-04-12
msrundll.exe病毒(ruango) 其具体特征有:在开始菜单-->程序-->启动里生成ruango启动项,而且无法删除干净。等一刷先 ,就重新出现。已经MSCONFIG“系统配置实用程序”启动项目里自动生成ruango,(命令为C:\WINDOWS\system32\MSRundll.exe;C:\Program Files\Common Files\ruango\player.dll)。
经过简单分析后发现,ruango在C:\Program Files\Common Files目录下产生ruango 文件夹和C:\WINDOWS\system32\MSRundll.exe以及c:\windows\system32\drivers\fkwld.sys,c:\windows\system32\dipus.dll,C:\WINDOWS\pss\ruango.lnkCommon Startup在跟上次“软告工作室”病毒一样,ruango也是一驱动型病毒。其主程序也是很难清除。即使将其粉碎,等再刷新,文件又回来了。所以,对待这顽固的病毒,我需要准备几样工具。
方法:
一、在C盘下建立一个BAT文件,写入以下内容。
attrib C:\Program Files\Common Files\ruango\player.dll -r
del C:\Program Files\Common Files\ruango\player.dll
cd C:\Program Files\Common Files\
rd C:\Program Files\Common Files\ruango
attrib c:\windows\system32\dipus.dll -r
del c:\windows\system32\dipus.dll
attrib C:\WINDOWS\system32\MSRundll.exe -r
del C:\WINDOWS\system32\MSRundll.exe
attrib c:\windows\system32\drivers\fkwld.sys -r
del c:\windows\system32\drivers\fkwld.sys
del C:\WINDOWS\pss\ruango*.*
二、在第一步完成后RUANGO的两个主文件都已删除,只要用兔子或其他工具去掉启动项内的RUANGO就可以了。
经过简单分析后发现,ruango在C:\Program Files\Common Files目录下产生ruango 文件夹和C:\WINDOWS\system32\MSRundll.exe以及c:\windows\system32\drivers\fkwld.sys,c:\windows\system32\dipus.dll,C:\WINDOWS\pss\ruango.lnkCommon Startup在跟上次“软告工作室”病毒一样,ruango也是一驱动型病毒。其主程序也是很难清除。即使将其粉碎,等再刷新,文件又回来了。所以,对待这顽固的病毒,我需要准备几样工具。
方法:
一、在C盘下建立一个BAT文件,写入以下内容。
attrib C:\Program Files\Common Files\ruango\player.dll -r
del C:\Program Files\Common Files\ruango\player.dll
cd C:\Program Files\Common Files\
rd C:\Program Files\Common Files\ruango
attrib c:\windows\system32\dipus.dll -r
del c:\windows\system32\dipus.dll
attrib C:\WINDOWS\system32\MSRundll.exe -r
del C:\WINDOWS\system32\MSRundll.exe
attrib c:\windows\system32\drivers\fkwld.sys -r
del c:\windows\system32\drivers\fkwld.sys
del C:\WINDOWS\pss\ruango*.*
二、在第一步完成后RUANGO的两个主文件都已删除,只要用兔子或其他工具去掉启动项内的RUANGO就可以了。
文章来自: 
引用通告地址: 
Tags: 评论: 0 | 引用: 12 | 查看次数: 3695
发表评论
