关于www.qqnz.com病毒的处理

关于www.qqnz.com病毒的处理

C:\WINDOWS\system32\drivers\swmidi.sys 被篡改了，替换成原来的文件重启就可以。


解决办法参考：http://hi.baidu.com/fuxudong/blog/item/8e363cf4fe85c162ddc474ee.html


关于netbios.sys 被检测为危险程序.netbios.sys无法删除

1 某个流氓软件篡改了系统文件netbios.sys

2 这个netbios.sys hook了IoCreateFile函数吧导致不能正常删除

3 使用antirootkit 工具 unhook  netbios.sys的挂钩，删除以后使用正常的netbios.sys替换即可

变种1 采用的是插apc的方式注入explorer.exe

变种2 病毒原理分析，感谢楼下的“猪”同学(目前无法删除的那个)

1. 调用PsSetCreateProcessNotifyRoutine 挂一个进程回调.

2. 过滤函数中判断若子进程iexplore.exe的父进程, 只关心以下3个进程名(已加密):
explorer.exe
svchost.exe
lsass.exe
若满足以上条件则进入步骤3,否则放行之

3. 硬编码通过 PID->EPROCESS->PEB->ProcessParameters ->CommandLine 得到命令行内容
4. 解密病毒网址,解密后内容为:http://www.ie7.com.cn
5. 修改命令行内容为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.ie7.com.cn"