扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
乱插进程的病毒越来越多。病毒插入的对象不仅限于应用程序进程,甚至包括系统核心进程。
遇到这类病毒,分析SREng日志以及手工查杀时不能忽视“进程插入”问题。
否则,你费了很大劲,折腾大半天,结果还是杀不净。
目前,论坛中多见的情形是:求助者提供SREng日志,请别人帮忙指出日志中哪些加载项/服务/驱动/文件应该删除。然后,就开始动手查杀病毒了。
今天,看到一个例子[原始日志在
http://forum.ikaka.com/topic.asp?board=28&artid=8240245&page=1
(1-4楼内容)],有些典型意义。
按照上面说的操作流程,恐怕不能解决问题。原因何在?
请您继续往下看。
该日志中的异常部分:
启动项目
注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run]
<myZt1><C:\DOCUME~1\谢峰\LOCALS~1\Temp\Zt1\SVCH0ST.EXE> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run]
<mhs2><C:\DOCUME~1\谢峰\LOCALS~1\Temp\smss.exe> [N/A]
<rxzs><C:\DOCUME~1\谢峰\LOCALS~1\Temp\svchost.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run]
<NiceMSoft><C:\WINDOWS\system32\retemp.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\
Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows]
<Load><; ? ?粒?粒? ?粒?
? ? ? ? ? ?粓?> [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
<myWl2><; C:\DOCUME~1\谢峰\LOCALS~1\Temp\Wl2\lexplore.exe> [N/A]
服务:
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start>
<Microsoft Corporation>
正在运行的进程:
[PID: 1448][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2036][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 248][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 384][C:\Program Files\Rising\Rav\Ravmon.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 36]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 388][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3510]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 740][C:\Program Files\Rising\KakaToolBar\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 3]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 672][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2104][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2160][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 3336][E:\备分\sreng2\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
以上是SREng日志中找到的、需要删除的加载项、服务项以及病毒插入应用程序进程的基本情况。
遇到这种情形,您先别急着用SREng删那些加载项、服务项。马上删,您也删不净。
为什么?因为这个病毒插入了很多应用程序的进程,连SREng本身也被windhcp.ocx插入了!
手工查杀这种狂插进程的BT病毒,建议您尝试下面的方法(以下操作仅针对此例。其它情形可以根据实际情况,举一反三):
1、下载、运行IceSword。下载地址:http://www.blogcn.com/user17/pjf/blog/44570897.html
2、用IceSword禁止进/线程创建。
3、在IceSword的进程列表中找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\WINDOWS\system32\windhcp.ocx。如果有,用IceSword强制卸除之(建议不要省略这一步,因为有些病毒见进程就插)。
4、用IceSword结束下列进程(已经被病毒模块插入了):
[PID: 1448][C:\WINDOWS\Explorer.EXE]
[PID: 2036][C:\WINDOWS\system32\wscntfy.exe]
[PID: 384][C:\Program Files\Rising\Rav\Ravmon.exe]
[PID: 248][C:\Program Files\Rising\Rav\RavTask.exe]
[PID: 388][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]
[PID: 740][C:\Program Files\Rising\KakaToolBar\runiep.exe]
[PID: 672][C:\WINDOWS\system32\ctfmon.exe]
[PID: 2104][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2160][C:\Program Files\Internet Explorer\iexplore.exe]
[PID: 3336][E:\备分\sreng2\SREng.EXE]
5、用IceSword删除上述加载项。
6、用IceSword删除那些加载项、服务项指向的文件。
7、点击IceSword工具栏上的“文件”、“设置”,取消“禁止进程创建”。
8、点击IceSword工具栏上的“文件”、“重启并监视”。此时,系统重启。
9、重启后,再用Sreng扫日志看看————该删除的是否都删了。
[注] 遇到插入系统核心进程(如winlogon、lsass、csrss、services等)的病毒,也可尝试先用IceSword禁止进/线程创建、强制卸除插入到这些系统核心进程中的病毒模块,再用IceSword删除病毒文件及其加载/服务/驱动项。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者