中招有几天了,今天终于完全搞定了。
前几天写论文的时候突然发现任务栏里卡巴斯基和360安全卫士的图标都不见了,我担心中毒就去手动打开,点击之后一闪而过的漏斗让我警觉:中招了。
经过四处查看,症状如下:
- 登录非常非常慢
- D盘根目录被添加autorun脚本,运行一个名为8AA99A0E.exe的程序。
- 杀毒软件被自动关闭,且无法打开。
- IE主页被篡改为45so.com
- 屏蔽杀毒软件主页,屏蔽浏览器中包含杀毒、专杀等字样的页面,否则自动关闭窗口。
- windows/system32/drivers,windows/system32,program files/common files/microsoft shared/ms info等位置有不明启动项。
还有什么好说的,立刻杀毒吧
- 先是打开任务管理器查看进程,发现有几个不认识名字的进程,杀之,开卡巴斯基,没用。
- 下载icesword回来,打开,一闪而过,跟卡吧一样的症状,没用。
- 关机进安全模式,挂挂,强制重启……
- 这下挂挂了,写下症状发到BBS上求助,被告知用sreng扫个日志上来看看
- 下载sreng运行,一闪而过……汗
- 很气氛,将icesword名字改成傻逼,文件夹改成猪头,运行,打开了……
- 得到灵感,将360safe和卡巴斯基改名运行,可以打开窗口了,但是仍被屏蔽关键字的功能秒杀。
- 得到灵感,把sreng改名,运行,发扫描日志到BBS上,蒙age同学指出几个可疑的位置。
- 打开totalcmd,找到这些位置,删除之。
- 遇到一个删不掉的dat和dll文件,强行用unlocker删除,explorer被关闭。重复几次,仍然如此。
- 百无聊赖之下将更名的360safe之后运行,发现不会屏蔽了,想来是有屏蔽功能的进程已经被kill了,运行恶意软件扫描,发现有7个恶意软件……清除之,有一个无法清除。重复清除,无果。
- 最终锁定那个删不掉的dll文件,用unlocker确定锁定这个dll文件的几个应用程序(非常牛B,explorer,unlocker之类都被锁了),打开icesword,逐个查看进程模块,强制卸除之,然后删除。删除的时候,被其锁定的各个程序都崩溃掉了,关掉了几个崩溃报告,重启explorer之后,发现这个文件终于被删除掉了。
- 欣喜万分把改了名字的程序改回来,打开卡吧,发现这回开始提示找不到路径……
- 不信邪打开icesword,找不到路径……
- 不信邪打开360safe,可以找到路径,但无法启用实时保护……
- 把卡吧改名,运行,更新病毒库,全盘扫描,扫除22个可疑位置,从木马到病毒到恶意广告软件,不一一列举。
- 搞定收工,把卡吧改回来,运行,找不到路径……
- 抓狂中……又全盘扫描一次,没毒了……
- 基于对卡吧的信任,我开始怀疑这次并不是病毒的进程作怪而只是残留注册表的项目在捣鬼。
- 经过仔细排查,发现注册表中某位置被添加了一整个文件夹,名为image execution之类的,其中有各种各样的反病毒软件的严格匹配的文件名,norton nod32 rising duba icesword sreng avp 360safe等等等等,看来就是通过这个屏蔽文件名的了,删除之。
- 终于看见久违的卡巴斯基和360safe的图标了55.
总结,SREng的智能扫描确实比较全面,可以正确地看出系统问题所在,icesword确实是强力工具,比如强行卸除进程中的动态链接库的功能,还比如查看系统文件,不受windows隐藏文件、系统文件等的设置。当然这一功能totalcommander也有,这里郑重向大家推荐。totalcommander结合查看绑定文件的进程的工具unlocker,可以实现类似于icesword中强制删除的功能。另外,遇到杀毒软件或者工具不能启动的状况,请改名之后试一下,毕竟病毒受尺寸限制,一般只能从文件名上控制一下,不会有高级的“行为判断”之类。
如查找文中所推荐软件有困难,可以联系我。
Leave a Reply
You must be logged in to post a comment.