2004/12/23 | 解决一个病毒问题
类别(技术) | 评论(0) | 阅读(37) | 发表于 17:49
解决一个病毒问题[关键词:apihookdll.dll / pws.hooker.trojan]

诺顿发现了以下病毒:

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: PWS.Hooker.Trojan
file: C:\WINDOWS\system32\APIHookDll.dll
Location: C:\WINDOWS\system32
Computer: ZSU-R4F2RFN97UJ
User: aromatic
Action taken: Clean failed : Quarantine failed : Access denied

这个病毒既不能隔离,也不能删除,真拿他没办法。而每次开机又会弹出警报!上网找了一下资料:

“APIHOOKDLL.DLL是一个远程注入的钩子, 主要用于注入记事本notepad.exe和IE进程, 被木马广泛利用, 以逃避杀毒软件和进程查看器的追查.

APIHOOKDLL.DLL是被木马拷贝到system32目录下的, 那不是微软的系统文件.”

“机器上的大多数程序都调用这个库,但这个库又不是windows各版本所自带的,可程序频频调用它,但没有它也不影响程序使用,而这个库却在木马克星里有,而它的文件信息几乎是空的,
安装了木马克星的话就会有此文件,因为是木马克星自带的,这已在木马克星的官方论坛得到确认。”

——网友zxp65993247在中关村网友社区中提供的资料

“我今天也发现了这个问题,刚才问了好几个高手,发现是Symantec AntiVirus
和木马克星起冲突造成的。只要你的机器安装了木马克星,并且又把Symantec AntiVirus更新到2004-12-22版本。每次打开文件都会出现发现病毒,PWS.Hooker.Trojan,并且这个APIHookDll.dll没有办法清除、和删除,看来还是等木马克星的作者来搞定,要不就删了木马克星。”

——网友yhzxj1在中关村网友社区中提供的资料

可见它被诺顿判断为病毒文件。实际上装了木马克星之后,机器变得不稳定(可能跟盗版的注册码有关),于是不得不删了木马克星,并进“带命令行的安全模式”用 del C:\windows\system32\apihookdll.dll命令把这个文件干掉。查看注册表相关先项,似乎已经被诺顿删了,或是卸载木马克星时删了。再重启,嗯,没有问题了。
0

评论Comments

日志分类
首页[1019]
技术[317]
English[3]
下载[59]
IT业界[203]
发现[47]
音乐[17]
网文[322]
blog应用[36]
BLOG参考[15]