案例二:MY123的清除方法
MY123系列流氓软件通常由一个变名驱动和一个变名DLL文件组成,该类流氓软件有多达上百种变种,但原理基本一致,主要有以下自保护方式:
1.通过自己的BOOT0驱动,在操作系统加载时加载,将自己的文件独占打开,导致任何人都无法访问,即使杀毒软件也无法对其进行扫描和清除
2.通过一个进程监控例程来监控系统,当系统登陆时,将一个runonce项写入注册表,这样起到自己的DLL隐身启动的目的
3.对自己的驱动服务项,会使用NotifyChange,ssdt挂钩,暴力重写等方式,进行保护,防止被破
4.进程监控例程中还会自动对自己的文件进行检测,如果被删除,自动恢复
清除方法:通过文件粉碎机将其驱动文件及DLL文件粉碎,或使用复制句柄的方式复制出被独占的文件句柄然后关闭,并进行文件占坑,最后重启动,并将其他残余项目删除。
