病毒产生的文件名为logonDLL.dll,因此我们就以文件名来称呼该病毒。该病毒名为logonDLL.dll,但也是归于机器狗一类。虽然病毒并没有替换掉通常机器狗都会替换的userinit.exe文件,但是同样具备穿透强大的穿还原的能力。
运行该病毒后,病毒闪了一下就没有了,不会长时间产生一个病毒进程。属于无进程,无启动项,超级隐蔽的病毒。因此很难引起警觉。当然越是这样,对用户的危害越严重。
病毒运行后,仅仅在如下位置产生一个文件:奇怪的是,病毒把自已建立的时间神不知鬼不觉的改成了2003-05-17~如果不是之前已经做好了准备备份了目录,我无论如何也不敢相信这是刚刚才建立的木马。它是如何做到的呢?估计在建立的一瞬间改了系统时间,尔后又快速恢复。让人产生麻痹。
c:windowssystem32 的目录
2003-05-17 01:39 49,152 LogonDll.dll
1 个文件 49,152 字节
0 个目录 2,679,521,280 可用字节
#p#副标题#e#
查杀过程如下图示:
下图①:运行病毒后,马上重启,虽然有冰点还原的保护,360仍然显示发现病毒~,显示病毒已经成功穿透还原。这时候按查杀的话,会显示需要重启清除。事实上重启清除之后病毒还在,无法清除干净。
下图②用机器狗专杀最新的V2.3(之后才发现当晚已经出到2.4版了)扫描,竟然没有发现病毒!
#p#副标题#e#
为什么找不到病毒的原因:原来病毒已经插入了系统核心进程winlogon.exe!怪不得要重启清除,因为360娄全卫士根本没办法对系统核心进程动手!简单用冰刃删掉就干掉了木马进程,现在我们可以随心所欲的处理这个病毒文件——logonDLL.dll,而不用等到重启后~
最后解冰点锁,再冰刃删掉病毒模块重启扫描无毒,显示杀毒完全成功~!
