- 打开“任务管理器”没有发现可疑进程
- 打开冰刃检查隐藏进程也无可疑进程
- 用冰刃查看dll注入,发现“EXPLORER”下有“4404EE42.DLL”(该进程可能结束后会自动重生,具体查杀方法,看下文)
2.启动项
- 打开sreng查看个启动项无可疑
3.查看服务
- 打开sreng查看WIN32服务,发现85E857EF,对应的路径为:c:\window\system32\25B910B4.EXE -k(原来病毒添加了服务启动)
注:到目前为止已经查到俩个可疑文件:“4404EE42.DLL",c:\window\system32\25B910B4.EXE
- 首先检查系统盘,发现C盘下有auto.exe及autorun.inf文件
- 查看%systemroot%\system32\下有“4404EE42.DLL”和25B910B4.EXE 俩个文件
补充:怎样判断可疑文件呢?判断的方法很多,如:根据文件路径,根据创建时间,根据文件名称等等,如下图根据时间判断(cmd下,运行dir /o:d >X:\*.txt)