发布于2022年11月8日3年前 实验工具与环境配置 虚拟机软件:VMware Fusion 11.5.5 操作系统:Windows XP 虚拟病毒:VirtualVirus 进程管理器:IceSword 运行虚拟病毒 在 Windows XP 虚拟机中,运行 VirtualVirus 可执行文件。 从现象上看,病毒会导致每隔一段时间就弹出一个对话框,不断累积。 事实上,触发虚拟病毒之后,除了开启本身进程(VirtualVirus)之外,还会把自身复制到 C:\WINDOWS\system32 和 C:\WINDOWS\ 目录,并分别改名为 explorer.exe 和 taskmgr.exe,然后启动它们。而这两个进程的名称正好与系统进程相同,可以起到混淆作用。不仅如此,这两个进程还互相监控,一旦一个进程被杀掉,另一个进程就再次启动它。 此外,虚拟病毒还会修改注册表,使 C:\WINDOWS\system32\explorer.exe 和 C:\WINDOWS\taskmgr.exe 随系统自动启动。 清除方法 第一步:结束 VirtualVirus.exe 进程 在任务管理器的进程中,找到 VirtualVirus.exe 并结束进程。 第二步:结束 taskmgr.exe 和 explorer.exe 进程 这两个进程互相保护,所以要结束这两个进程有两种方法: 方法 1:用 Windows 的任务管理器中的结束进程树的方法。该方法的缺点是不知道进程的路径,可能误结束系统进程。 方法 2:使用可以同时结束两个进程的进程管理器,如 IceSword,通过该进程管理器不仅可以看到进程名,还可以看到进程路径,这样就不会误删系统进程。 这里我们采用第二种方法,按住 ctrl 键同时选中两个进程,将其结束。 第三步:修改注册表 删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的 explorer 和 taskmgr 两个键,这里使用的是注册表编辑器,也可以通过 IceSword 删除。 第四步:删除病毒副本 删除 C:\WINDOWS\system32\explorer.exe 和 C:\WINDOWS\taskmgr.exe。 至此,我们已将虚拟病毒彻底清除。
创建帐户或登录后发表意见