(我2天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:
现状
1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);
2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!
3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下没有启动项
4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......
分析:
由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolde
rHiddenSHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。
进入C:WINDOWS,C:WINDOWSsystem32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。
顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:Program FilesCommon FilesMicrosoft
SharedMSINFO里面。
然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。
斗争:
1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在
HKEY_CLASSES_ROOTCLSID{28E68522-8522-8E60-228E-522E65228E60}InProcServer32
@="C:\Program Files\Common Files\Microsoft Shared\MSINFO\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了
同时在
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Options下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:Program FilesCommon FilesMicrosoft
SharedMSINFO85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。
2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。
3.重启,以为大功告成,但是发现症状依旧!
看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)
最终办法:
1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)
2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。
3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。
后记:
写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的机器情况一定不同,只要按正确的思路,一定可以战胜病毒。
就在这片文章写完后的2个月,一个命为av终结者的木马横行网络,其特征与本文说的极为相似,而本文的思路希望可以对大家有所帮助。