概述
惡意腳本病毒具有自我複製、傳播和破壞等行為,對當前計算機網路信息環境具有極大的危害性與破壞力。利用惡意腳本程式的一個重要特徵(篡改用戶註冊表數據)對其進行監控,提出了一種基於API HOOK的註冊表監控方案。該方案以註冊表為監控點,利用API HOOK技術,通過修改系統服務調度表中系統服務程式的入口地址,實現惡意腳本的檢測與防範。該方案運用特定的邏輯和特徵判斷,可實現監控和保護註冊表中用戶特定的鍵值。
惡意腳本程式該如何處理?
最近電腦開機出現提示框:Windows找不到檔案%SystemRoot%\system\svchost.exe,請確認檔案名稱是否正確後,再試一次。
不理後,發現任務管理器打開後一閃就關,CMD、regedit等都是一開就關,同時發現所有硬碟上所有資料夾都變成捷徑(真正的檔案應該被隱藏了),通過USBCLEANER6.0和冰刃發現,每個盤下面都多了兩個檔案,AutoRun.inf
內容如下:
[AutoRun]
Shellexecute=wscript.exe 875770417.vbs "AutoRun"
shell\open=打開(&O)
shell\open\command=WScript.exe 875770417.vbs "AutoRun"
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\command=WScript.exe 875770417.vbs "AutoRun"
和875770417.vbs(用記事本打開後看到第一行是'號外起亂偶給要不'暴叫字名文中的我,叫字名文英的我,風 .eniFyoB-_-9),而且刪除後即可出現。用冰刃關閉兩個有疑問的進程後,上述兩個檔案可以刪除並不再出現,任務管理器和註冊表等等都可以才、正常打開(我肯定沒有把它刪除乾淨),當有時候操作有威脅到這個惡意腳本的時候,它又會復生,請教各位高手該如何處理呀?
問題補充
具體又觀察了下這個惡意程式,隱藏所有的資料夾,生成同名的捷徑(包括我的電腦和我的文檔),任務管理器上看不到Wscript.exe這個程式,所有被隱藏的檔案找到後無法修改其屬性,隱藏一項為灰色,無法選擇;再次請教高手支招 。
