手工杀毒报告分析详细解释又一力作(实战教程一)供参习.docVIP

为节省篇幅，不提供扫描报告，而且这里有：扫描报告贴子地址：/thread-17644-1-1.html2楼是详细解决方案。我们从??进程和模块列表??开始看起。来到了winlogon.exe这个进程。然后我们来看这个进程的路径： \??\C:\WINDOWS\system32\winlogon.exe 这是正常的。以前不知道的话现在记一下。在它下面有4个模块，前三个，如果你不知道是什么，那么请百度一下google一下。我们来到最后一个模块处： [C:\WINDOWS\system32\fvldkps.dll] [Microsoft Corporation,8.90.1101.0] 首先，当我看到这个文件名的时候，就觉得奇怪。我分析过很多报告，注入winlogon.exe进程的模块几乎很少，这个更是从没见过。于是我开始对它关注。看其出品公司及版本：Microsoft Corporation，这个正常。8.90.1101.0 这个版本号就不正常了。我们来看一下其它的进程及模块文件的版本号大都是：5.1.2600或者6.00.2900.3300。也许说这些还没有多大的说服力，那么我们再往下看一些进程及模块，你会发现C:\WINDOWS\system32\fvldkps.dll它还注入了其它的一些模块，象敏感进程svchost.exe，explorer.exe等。这时，我们就