与我遇见的最强木马斗争,最终获胜

社区服务
高级搜索
猴岛论坛电脑百科与我遇见的最强木马斗争,最终获胜
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
1个回复

与我遇见的最强木马斗争,最终获胜

楼层直达
awpexpert

ZxID:1269607

等级: 元老

举报 只看楼主 使用道具 楼主   发表于: 2007-12-18 0
与我遇见的最强木马斗争,最终获胜
(我2天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
  上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:

现状

1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);

2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!

3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项

4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......

分析:
由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。

进入C:\WINDOWS,C:\WINDOWS\system32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。

顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。

然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。

斗争:

1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在

HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了

同时在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。

2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。

3.重启,以为大功告成,但是发现症状依旧!

看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)


最终办法:

1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)

2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。

3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。

后记:
  写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的机器情况一定不同,只要按正确的思路,一定可以战胜病毒。
  就在这片文章写完后的2个月,一个命为av终结者的木马横行网络,其特征与本文说的极为相似,而本文的思路希望可以对大家有所帮助。
hoyc

ZxID:1317144

等级: 上等兵
举报 只看该作者 沙发   发表于: 2007-12-20 0
谢谢你,看完后,我决定把过程 save 起来了。你让我学了很多东西。
« 返回列表
发帖 回复