注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

巨蟹男的博客

如果不可以改变现实,那么就先改变自己

 
 
 

日志

 
 

手工查毒过程  

2007-08-12 17:18:33|  分类: 刻 苦_学习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
(我2天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
    上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:

现状
1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);

2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!

3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项

4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......


分析:
    由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。

    进入C:\WINDOWS,C:\WINDOWS\system32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。

    顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。

    然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。


斗争:

1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在
[HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了

同时在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options]下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。

2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。

3.重启,以为大功告成,但是发现症状依旧!

    看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)


最终办法:
1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)

2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。

3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。

后记:
    写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的机器情况一定不同,只要按正确的思路,一定可以战胜病毒。

     就在这片文章写完后的2个月,一个命为av终结者的木马横行网络,其特征与本文说的极为相似,而本文的思路希望可以对大家有所帮助。
  评论这张
 
阅读(118)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017