扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
由于安全模式破坏、正常模式什么安全工具都用不了,只有用雨林木风的win pe光盘启动到PE系统下,打开硬盘注册表,原以为是映像劫持,没想到竟然不是,看来这病毒不是用映像劫持来控制安全工具的。
现在只能根据启动项来找了,从注册表的几个RUN(启动项)下面,发现不少可疑的病毒文件,全指向windows和system32目录,一看名字就不象好东西。进入硬盘windows和system32下,按修改时间排个序,重点检查exe和dll文件,结合检查文件属性中的文件创建时间和版本、厂商信息,再看文件名,乱七八糟随机组合名字的,比较长超过8位字符文件名的,重点怀疑,用powerrmv(费尔删除工具,有抑制删除对象再生能力)删除并抑制对象再生。
重启进入原系统,发现情况没有改观,想到还有一个工具autoruns,可以列出启动项,拷来一试,竟然可以运行,根据其中列出的启动项继续查找,又删除了ie文件夹中的几个iexplorer32.*的病毒、字体文件夹font中多一个文件夹,其中有两个文件也删除了,还有一个驱动c:\windows\System32\DRIVERS\fr5dvdo.sys,用powerrmv竟然删除不了,这时冰刃可以用了,用它来强制删除,可是冰刃没有抑制再生功能,删除了对方又复活。反复进入PE和正常系统删除发现的病毒文件,费了不少时间,特别是病毒在临时文件夹temp中不断生成几个文件,也不断把这几个文件加入驱动中,增加了清除的难度。
最后想到windows清理助手有个应急程序solo.exe(相关信息,见本站“软件下载”中的“windows清理助手”),从其它电脑下载后拷到本机上运行扫描,扫出不少东西,清除后再重启(中间怕病毒来个关机写入,还直接断电重启),并且发现explorer.exe被替换,幸好有备份的gho文件,从中提取一个就OK了。这下wsyscheck也能用了,又查出几个可疑的服务和驱动,再删除。
总算最后几个安全工具都陆续解放了。在SREng能用时就扫了下日志(这里是残余的系统日志,可能只是注册表中的残余,文件已经删除了,有的项目因为前面已经删除,这个日志并不代表全部情况):
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D0B2F9F8-781C-43EA-AB99-58B9B528417E}><C:\WINNT\system32\cqavpw1.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<jblxrpqua><C:\WINNT\system32\ewgsmklpv.dll> []
==================================
服务
[Iprip / Iprip][Stopped/Disabled]
<C:\WINNT\System32\svchost.exe -k netsvcs-->C:\WINNT\system32\Ipripex.dll><N/A>
[kernel32 / kernel32][Stopped/Disabled]
<c:\windows\system32\KERNEL32.exe><N/A>
[Policy Diagnostic Service / PDSSvr][Others/Auto Start]
<C:\WINNT\System32\svchost.exe -k PDSSvr-->c:\winnt\system32\pdssvr.sys><N/A>
==================================
驱动程序
[fr5dvd / fr5dvdo][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\fr5dvdo.sys><N/A>
[wjoksrodfcqc / wjoksrodfcqc][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ewcglnfmfmpa><N/A>
[wqnrkzqsgreg / wqnrkzqsgreg][Stopped/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jfahwtvtrrwa><N/A>
==================================
HOSTS 文件被修改,很多安全网站,如江民、金山毒霸、360、卡巴斯基、瑞星卡卡,甚至雅虎、搜狗、百度安全等网站全被指向202.165.102.243。
由于能保留的资料不多,只能说这些了,周五篇有比较详细的日志记录,很奇怪,周五那次分明与周二周三两次杀毒有类似之处,但SREng和许多安全工具都能正常使用,所以周五这次也是这周最后一次杀毒保留的资料较全
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。