实战：毒霸遭Flash Player漏洞破坏解决方案

最近Adobe Flash Player漏洞引起安全厂商的高度关注，因为Adobe的产品缺少象微软那样的补丁管理系统，该漏洞的影响可能会持续较长时间。已经发现很多木马下载者利用该漏洞传播，并且部分利用Adobe Flasy Play漏洞传播的木马下载器完成任务后会删除自身，增加了捕获样本的难度。

本文实际染毒测试的样本就是这类下载者的代表，该样本会破坏杀毒软件，中毒后的修复过程相当麻烦，希望通过本文给网友恢复系统以新的思路。

解决该问题的要点：

1.下载磁碟机专杀，杀掉已知病毒

2.修复毒霸的uplive.exe

3.升级毒霸和清理专家

4.重启系统到安全模式，运行毒霸和清理专家，完成病毒和恶意软件清除。

本例中，运行样本后有uplive.exe、kissvc.exe、kpfwsvc.exe损坏，需要从其它正常电脑安装的毒霸中恢复，为方便大家修复，这里提供了打包文件下载。

fixduba.zip (548.17 KB)（点击下载）

样本文件名：orz.exe

MD5：5fbabcd8b6c7d42ba38a858582fda63e

以下是完整的手工解决办法，供喜欢手动解决问题的网友参考。

染毒环境：

WinXP SP3中文版虚拟机

金山毒霸2008官方下载版，病毒库日期2008.5.12

步骤：

1.运行染毒ORZ.EXE，执行后，ORZ.EXE自动删除。

2.毒霸防火墙立即由红变蓝

观察毒霸文件夹，发现几个重要EXE被1KB大小的同名隐藏文件替换

尝试手动删除，失败，显然文件被使用中。

系统也变得很慢，CPU占用100%，只好强制重启。

3.重启发现毒霸实时监控变灰色，显然服务被删除。

网镖启动也报错

4.下载磁碟机专杀，重命名后双击执行，发现多个恶意软件

专杀工具释放的迷你毒霸扫描到若干盗号木马

5.访问http://an.baidu.com安装百度安全中心，因为中毒后kasmain.exe被病毒破坏，想试试百度安全中心的web版清理专家的效果，没有用在线杀毒

修复浏览器相关项，全部选中，再禁用选中项。

修复异常的启动项，部分加载项无法被选中是指当前状态下无法修复，暂且不管，能做多少算多少。

清理恶意软件和插件，因磁碟机专杀已经清除部分恶意软件，现在显示的是其它未清除的恶意软件。

清除选中项后，重新扫描，发现未能成功清除。这也是正常的，带毒环境下清除是有可能失败的。

6.磁碟机专杀工具已经完成全盘扫描，建议重启

7.重启后，从其它计算机将uplive.exe复制到已中毒机器的毒霸目录，以恢复毒霸的升级功能，进而通过升级恢复被破坏的毒霸程序文件。

注意：运行uplive前，先将update文件夹删除，这一步很重要，因发现这个病毒还会破坏update文件夹中以前下载的几个程序文件，直接升级会导致出错。

在升级完成，建议重启时，点否，我们可以立即使用最新版本的清理专家来尝试一下。

8.清理专家检测的结果

首次完成清除后，再刷新发现仍然报告，说明仍有病毒程序在运行，此时不必按程序要求重启，先尝试手工解决。

启动项中发现延迟加载项和appinit Dlls加载项

全面检测中发现执行挂钩，选中后尝试修复。

 

9.接下来，尝试修复毒霸。

双击右下角灰色的毒霸监控图标，打开主程序，点击“解除危险”

在确认框，点是，启动文件实时监控。

然后，你可以尝试全盘杀毒，我不太喜欢全盘杀毒，在监控未发现病毒时，我基本不用全盘杀毒，太花时间了。这里我选择了重启，把杀毒的任务交给毒霸的抢杀技术（Bootscan），只要监控功能恢复正常，已知的病毒会在重启时被删除。

10.再执行清理专家，发现几个恶意软件已经不存在了。

11.但网镖还是没能自动启动，提示服务加载失败

12.开始，运行，输入services.msc，检查发现毒霸的公共服务和网镖的服务均未启动。

双击查看服务的属性，发现文件不存在

分别是KISSvc.EXE和KPfwSvc.EXE，我们只需要从其它电脑COPY这两个文件到毒霸目录，再重新启动这两个服务就解决了。