查看: 8657|回复: 32
收起左侧

[经验分享] 分享PowerTool对抗病毒例子

  [复制链接]
童话小米饭
发表于 2011-6-6 10:06:26 | 显示全部楼层 |阅读模式
本帖最后由 童话小米饭 于 2011-6-6 10:52 编辑

《PT VS 改变你的一生》

测试环境:
VBox + Windows XP SP3(没打补丁和无安全软件)


运行病毒后,过一两分钟让病毒热身,然后重启系统

症状暂时发现
1、桌面出现了个删除不了的伪IE
01.png
2、指向和谐网
00.png
3、Program Files文件夹不见了
02.png
4、地址栏输入C:\Program Files,可以进入,Common Files文件夹貌似也……看看属性
03.png

以下是手工操作的步骤:

1、打开PT,看到一提示框
04.png
按“确定”就可以了

进到里面【系统修复】,看到[系统检测]中有三项显示红色(有一项是没杀软提示,忽视之)
05.png
到这里,先做一下相关禁止的配置(右下角的第一个按钮)
06.png

1)设置好后,转到[流氓快捷方式],看到两个是IE劫持的,后面三个是和谐网的快捷方式
07.png
这里仅先操作修复IE劫持(这里比直接操作注册表爽多了)
剩下的后面再处理
08.png
2)来到[镜像劫持]中,看到很全面的安全类进程名
09.png
不用考虑了,全选删除就行了(你懂的……)

2、来到【进程管理】,发现三项进程亮红,两个可疑进程(无文件厂商)——smss.exeexplorer.exe
10.png
而且可疑进程中的模块都是存在的,把相关的模块和路径记忆下来……再右键“粉碎进程”

3、接着转到【内核模块】,拉下底部看到有两个可疑驱动
11.png
(关于驱动一般都不建议开始操作,因为很容易蓝……所以先暂时放下)

4、一路检测下去,那些【内核相关】、【钩子】之类都没异样,
跳到【启动项】,发现两个可疑启动项,和之前的进程注入的模块都是一样的
12.png
右键“删除启动项”

5、【系统服务】无异常,回到【文件】中,随便一个盘右键——“查看延迟重启删除信息”
13.png
Hosts文件也许被删了,这病毒跟猩猩有一段过节哦 ?!(RavExt.dllbsmain.exe
右键“删除全部重启信息”

1)展开C盘,看到可疑的文件夹EEQQ,无需考虑,删除之
14.png

2)打开“当前用户”的收藏夹——有个“缤纷导航
15.png
可以勾选下面的“阻止文件还原”后,点击“文件粉碎”按钮,也可以右键删除
任君选择呵呵……

3)展开All Users,点击桌面,就可以找到桌面的快捷方式了
16.png
删除后,电脑桌面的也随之消失了!

4)因为之前看到C盘中的文件夹Program Files和其中的Common Files文件夹都被隐藏了
PT里以蓝色显示隐藏文件夹,所以需要修复一下——右键“去掉只读,隐藏和系统属性”
17.png
18.png
Common Files文件夹里的文件也看到了先前进程模块中的ocsoss.dll,也删除吧……

5)文件夹system32中,两个可疑文件夹——对应了进程模块和启动项
19.png
文件夹drivers中,按文件创建时间排序,看到可疑驱动,粉碎掉!
20.png
在看一下etc文件夹中的文件,Hosts文件的确没了
21.png
(以上的病毒文件删除都统一在【文件】页面中操作)

6、再回到【内核模块】,卸载可疑驱动(略)

最后在进入配置中“快速重启系统”,重启后,基本没看到病毒痕迹了
文件夹也重现了(Hosts以后自己在加上去吧)
22.png
手杀告一段落了,还有没发现的残留,就由XX急救箱XX助手去搞吧,本人真的很懒!

评分

参与人数 6经验 +30 人气 +5 收起 理由
小小梦 + 1 进程上直接右键结束并删除不就行了?
chp711 + 1 赞一个!
深雅爱哲 + 1 交学费
边缘vip + 30 精品文章,节日快乐!
FreeEquFraT + 1 楼主好强,膜拜一下

查看全部评分

童话小米饭
 楼主| 发表于 2011-6-6 10:07:26 | 显示全部楼层
本帖最后由 童话小米饭 于 2011-6-6 10:49 编辑

《PT VS 鬼影3》

测试环境:
VBox + Windows XP SP3(没打补丁和无安全软件)


运行病毒后,过一两分钟让病毒热身,然后重启系统

症状暂时发现桌面出现了个删除不了的伪IE
00.png

以下是手工操作的步骤:

1、打开PT,
01.png
看到没有杀软

【进程管理】发现有可疑进程(无文件厂商)
02.png

右键“检测所有数字签名”
03.png
看到Vanlgl.tmp没有署名的(这图是3.7修正后的图 ),其中模块框中有显示模块alg.exe(另一个红色的进程是虚拟机注入所致)
04.png
点击“禁止进程创建等配置”按钮,按下图勾选
05.png
然后回到【进程管理】右键“结束进程”没有署名的Vanlgl.tmp
06.png
07.png

2、【内核模块】中,右键“检测所有数字签名”
08.png
Beep.sys没有署名
09.png
在PT中没有检测不加载的驱动,所以hello_tt.sys就看不到信息了
在这里先不理会,暂时放下

3、一路检查,在【钩子】中的[微端口驱动]里,发现被挂钩的函数项
10.png
对应的模块是Beep.SYS,右键“摘除钩子”(这里是加驱的目的了)

4、【应用层钩子】中的[消息钩子]有可疑信息,按文件厂商排序
消息钩子.png
右键“卸载钩子”

{【注册表】里,hello_tt.sys有一个服务名(PT在【内核模块】中没有反映出来,可以再安装XX急救箱等查找)}
12.png
注册表残留,右键删除吧……

5、先跳到【启动项】,发现可疑的项
11.png
右键“删除启动项”

6、回到【系统修复】,在[主引导记录(MBR)]中检测MBR,发现有“和标准信息不同
15.png
于是点击“从备份文件还原MBR”,选好之前备份过的MBR文件
16.png
恢复成功后
17.png
再检测一下,无异常
19.png

7、【文件】中,找到桌面伪IE的位置,然后删除,桌面的快捷方式也随之消失了
13.png

再找到可疑文件的位置,删除之
14.png

然后使用PT的快速重启系统
18.png
重启系统后,基本正常了!
(手杀告一段落,那些替换不搞了,修复等由XX急救箱、清理助手等做善后工作吧)
童话小米饭
 楼主| 发表于 2011-6-6 10:09:13 | 显示全部楼层
本帖最后由 童话小米饭 于 2011-6-6 18:07 编辑

好似有人要样本哦呵呵

1、改变你的一生,已经有一段日子了,此病毒我是从XT交流群共享得到的,
至于样本区下载帖是哪个我就不清楚了;(之前也碰过,但是当时不知道它而已)

2、鬼影3病毒:http://bbs.kafan.cn/thread-980681-1-1.html
最初是在byxxdrls的帖中看到的,在他的帖中也回过帖,有XT对抗鬼影3的文章的连接:
http://bbs.x-da.net/upload/forum ... &extra=page%3D1
不过留意的人可能比较少吧呵呵(希望版主别说我广告)
ithurricane
发表于 2011-6-6 10:58:42 | 显示全部楼层
支持这么给力的教程,
祝大家端午节快乐
gikouhaku
发表于 2011-6-6 11:06:56 | 显示全部楼层
过来看看~貌似挺给力的
紫瞳魔圣
发表于 2011-6-6 11:10:47 | 显示全部楼层
支持一下
250662772
发表于 2011-6-6 11:16:20 | 显示全部楼层
补上病毒样本呀
yuewang
发表于 2011-6-6 11:47:09 | 显示全部楼层
学习
ygalon
发表于 2011-6-6 11:48:02 | 显示全部楼层
要是能智能处理就好了,手动看着不好
zhtq
发表于 2011-6-6 12:01:55 | 显示全部楼层
这个得支持,学习学习。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:59 , Processed in 0.141090 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表