呵呵,第一次和AV病毒较量,还有大约十来个流氓软件.外加 autorun病毒。历时大约四个小时左右,终于天下太平了。这些病毒加流氓软件合起来,再加上又是远程操作,处理起来有一定难度。现在想想,应该收获不少。
在这次作战中,我得感谢三个大功臣:360安全卫士、DoIt 、Anti 。其中,360安全卫士在清理流氓软件流行木马中作了100%的贡献。Anti在防止病毒重生的活动中作了100%的贡献。DoIt 在修复系统中防止病毒自启动中作了100%的贡献。综合贡献最大的是 DoIt 。因为 DoIt 救了其它的安全软件一命。
在这次作战中我非常鄙视的工具:金山毒霸AV病毒专杀工具、卡巴斯基杀毒软件。
我们论坛在他机器上打不开.一打开就被关闭了.(AV病毒的“特征”)所以我下工具比如anti 都是在 doit 里登录论坛的.
随机生成八位名称的病毒.在 C:\Program Files\Common Files\Microsoft Shared\MSInfo 、system32、下。还有截劫程序.可能还有ARP病毒.因为在temp下发现了arp.exe.而且删除不了.
我修复了注册表中的对安全软件的错误镜像,仍然打不开象 360 icesword这一类安全软件.而且发现金山的专杀根本不管用.
卡巴倒是不错.一开始打不开,现在修复后,可以打开了.发现卡巴KEY拉黑了.呵呵,还要换KEY.
继续杀毒中....
大体的经过:
QQ远程协助:
一开始,我就想到了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 这个键值很可能被利用了。因为他告诉我“什么都打不开了。”于是传给他 doit ,扫描后发现果然这样。参见http://www.hackpro.cn/thread-1561-1-2.html
于是用 doit修复掉。我还发现无法显示隐藏文件。这个用 DoIt 修复掉,然后设置一下,隐藏文件也显示了。卡巴也打开了。于是开始用 DoIt 慢慢扫描系统敏感的地方,注册表,系统服务、系统目录,病毒敏感目录。感觉启动项目处理得差不多了。开始扫描文件了。打开卡巴主界面。哇晕,KEY拉黑名单了,于是打开我们论坛下载KEY。结果一打开就被关闭。汗,看来,内存中仍然有病毒。比如进程插入(绝对有)、底层驱动(这个也有)。因为我提前把 doit 传给了他,于是用 doit -论坛求助,进了我们论坛,下载KEY。替换掉,升级卡巴。
由于他对电脑什么也不懂,所以在杀毒的过程中遇到不少挫折。他不知道该点允许不是拒绝,删除还是清除,确定还是取消。不管是病毒的行为,还是我的行为,他无法分辨。我那个急啊。
电脑重启了好几次。。。。我也不知道为什么就重启了,可能是因为病毒吧。
doit死了好几次。。。。被卡巴卡住了。。。。
第一次杀毒发现有些病毒很顽固,删除后又回来,不过有个比较好的地方是,他的病毒文件名居然是固定的。这个后面再说。所以我从论坛下载了Anti。用来做文件免疫。
不知道啥原因,电脑重启了。
重启后症状加重,卡巴打不开了。就算是我把那个键值修复后,也是打不开。这就是因为他的底层驱动在作怪。
我想安装360安全卫士。安装都不行。因为病毒定时监视前台窗口的标题,包括病毒、杀毒等关键字在内的将全部被封杀。
目前工具就两个可以用。DoIt 和 Anti 。我只好先用 doit 扫描病毒比较敏感的地方。首先修复了前面提到的那个键值下的被拉黑的安全软件。在修复的过程中,我发现他们把这些安全软件的打开方式指向了C:\Program Files\Common Files\Microsoft Shared\MSInfo\****.bat 这可是大收获。于是找到该目录,哇。好几个系统的隐藏的文件名奇怪的文件。其中有两个删除不掉。那怎么办,又不能进安全模式,呵呵,我们有Anti。而且我记得我发过贴子,有些正在运行的文件,虽然无法删除,可以重命名哦。比如 aaa.dll 无法删除,我把它改名为 aaa_dll。改名成功了。用Anti对原文件进行了免疫。在system32 下对大约五个固定的DLL文件也做了免疫,EXE文件直接删除。注册表自启动项修复掉。我还发现EXE病毒名字和DLL病毒名字是一样的,只不过扩展名不一样。
我让他重启了一次。
重启后,呵呵,卡巴打开了。360安全卫士打开了。冰刃打开了。而且我下载了金山的AV专杀,别提了。
这下我就不怕了(高兴得太早了),开始一一地杀,用AV专杀,只查到了一个防止用户进安全模式的病毒,而且只给出了病毒定义,连病毒在什么位置都不告诉我们。郁闷。正当我杀得兴奋的时候,突然360安全卫士、Anti、卡巴斯基(正在扫描,扫出了四个病毒)就不见了。全被关闭了。我心里一凉,想,难道真要死在AV手里?
我近乎疯狂了。。。
再次重启机器后除了 DoIt 全打不开了。连我心爱的 Anti 居然也被拉了黑。再次修复前面说的那个注册表键值。把Anti 改名,成了a.exe 呵呵,可以打开了。360安全卫士改成了 e.exe,这个还是打不开。
这次我很细心地 扫描,排查,不放过任何一个病毒喜欢呆的地方,不放过任何一个删除不掉的文件。结果大有成效。 多亏 Anti,当然没有 DoIt ,所有的工作都别谈。把顽固而且文件名固定的用 Anti 做免疫。把无法删除的改名然后做免疫,能删除的变化名字的病毒一律删除。注册表修复,服务禁用(其实我一直漏掉了一个服务,他的名称和系统的太象了),修复注册表键值。卡巴的系统服务已经被病毒删除,注册表里的卡巴的自启动项也被删除了。我把注册表里的自启动项添加上了。系统服务没管。自我感觉良好后,再次重启电脑。
重启后,卡巴还是没启动起来。不过其它的都可以用了。我迅速用 360 安全卫士 把流氓软件杀掉(在此之前我教过他什么时候允许,什么时候拒绝,什么时候删除。
)然后该修复的继续修复,该免疫的免疫(这时可供免疫的已经很少了。因为他的底层驱动,已经用改名后免疫的方法给干掉了,病毒的实力已经降了一多半)。
再次重启后,这些安全软件已经都可以打开了。离胜利不远了。我开始了对病毒的疯狂反击,所有的安全软件一起上阵(除了金山AV专杀)。卡巴对C:\program files\、system32 进行了全面杀毒。360对流行木马、流氓软件全面扫描,并打系统补丁。DoIt一直不停地扫描自启动项、系统服务、恶意软件、那个注册表键值、TEMP目录中的病毒,AUTORUN病毒、IE缓存中的病毒。Anti这会歇着了。等卡巴全部扫描完了,我决定收工。因为我感觉已经差不多了。于是再次重启电脑(他和我说了好多次困死了。呵呵,我第一次和AV较量,哪舍得放弃)
重启后,首先各安全软件均可以正常打开。高兴ING。用 doit 看了一下进程,发现有个 c:\windows\system32\localsvr.exe 晕,怎么还有个马。结束进程不行。所以感觉象是系统服务启动的。钩选调试模式结束掉进程,查找系统服务。没发现异常(其实病毒就在里面)然后发动所有的安全软件,继续重复扫描,卡巴对整个C盘进行扫描。其它软件还是负责他们各自的工作。呵呵,这时我在 360 安全卫士中发现了localsvr.exe 这个系统服务。可 360 安全卫士不能删除服务。我到 doit 中找了两遍才找到这个服务。服务显示名:remote procedure call(RPC) localsvr,唉和系统的只差一个单词。急忙把这个服务删除。等卡巴扫描完毕,最后一次重启了电脑。
重启后,再做一次全面扫描,发现,世界太平了。太平了。。。。
历时大约四个小时,终于用QQ远程协助的方式把病毒全部清除了。
关于这些病毒:具有很强的保护性和对安全软件的防御性。一般很流行的杀毒辅助工具基本上全部被列入黑名单。幸亏 DoIt 知道的人不多。否则,这次真不知道怎么杀了。他的底层驱动保护不利,致使我可以把它改名,然后用 Anti 做病毒文件免疫。防止文件再生。
那些随机的病毒文件,只不过起到了通过注册表启动的目的,其实威胁并不大。威胁比较大的就是系统服务里的,我提到的那个注册表的键值,和对安全软件的实时监控。
现在建议大家对我在前面提到的那个注册表键值作权限限制:
右单击那个键值-权限,对administrators 和 users 给以拒绝的限制。以防万一。
还有什么不明白的,发贴问吧。