[转帖]用卡巴斯基系统报告生成avz脚本清除hbkernel病毒[非常强大但又隐蔽的功能]

syfwxmh

虽然辅助工具区已经发过，而且也是转帖，但是那个地方估计没人看，所以帮忙转过来！

KIS2009全功能安全软件提供了一个非常好的功能，就是能够创建类似于SRENG日志的系统报告，然而与SRENG生成日志后的无所作为相比，KIS2009则强大得多，因为有经验的用户在判断出日志列表中的病毒文件、注册表等信息后，只需点几下鼠标就能生成一个AVZ脚本，然后把AVZ脚本交给KIS2009执行，KIS2009就能根据AVZ脚本去删除相应的病毒文件、注册表，恢复系统。很神奇吧！下面我们就来详细看下在中毒后如何通过KIS2009系统报告生成AVZ脚本，并通过脚本恢复系统。

为了实验，我们选取了最近非常流行的HBKernel病毒，其清除难度非常大，众多反病毒软件厂商无奈之下只得靠编写专杀来处理。这里的样本是从卡饭论坛样本区下载的。当然样本KIS2009早就能杀了，但为了体验，我们这里暂停KIS2009的保护，运行样本文件。直接运行？对，这才能体现出咱的信心不是？双击样本文件，一小会儿后，样本文件消失了，应该已经充分运行了。我们来用KIS2009创建系统报告，看看怎么把它清除掉。打开KIS2009的主窗口，点击左下角的“支持链接->支持工具”，





点击“创建系统状态报告”这时KIS2009就会收集系统信息，生成报告。



生成报告后点击右边的“查看”按钮，就可以打开报告所在的文件夹。这时我们看到报告已经被打成了sysinfo.zip压缩包。





我们来将里面的报告解压出来。由于报告所在的目录受到KIS2009的保护，无法写入，我们得先将它复制到别的文件夹下比如桌面，然后再解压缩。解压缩后我们得到两个文件：avz_sysinfo.htm和avz_sysinfo.xml，我们打开sysinfo.html。打开后IE浏览器会提示是否允许运行被阻止的内容，选择“允许”。







这时我们就看到报告了，可是报告里的文字是乱码啊，呵呵，还有些俄语字母呢，大家不要误以为这报告是俄语的，这可绝对是中文的，只是因为IE浏览器没能够正确选择文件的文字编码而造成的。在IE浏览器的菜单里依次点击“查看->编码->简体中文（GB2312）”，怎么样，这时中文就出来了吧。






我们来好好看下报告吧。报告里列出来了系统中正在运行的进程、内核模块、服务、驱动、自动运行、BHO等等，绝对的应有尽有。而且可以信任的系统程序都用绿色标记了出来，不认识的程序则用黄色来标记。好了，我们来揪出隐藏在系统中的病毒，把它咔嚓掉吧。

在“进程列表”里我们发现了一个可疑的explore.exe进程，这家伙起个名跟系统进程似的，大有“康帅博”的风范。可是“描述”信息和“版权信息”里啥都没有，“你当我是二啊”！给他咔嚓了。文件名下面有个脚本行，用户可以选择对这个文件执行什么脚本命令。我们先点击“终止”，让执行脚本时先结束这个进程，然后点击“删除”，尝试删除这个文件，怕删不掉，我们再点击“BC 删除”。什么是“BC 删除”呢，“BC”就是“Boot Cleaner”，是在重新启动进入系统前将病毒删除掉，对于那些已经加载进内存又赖着不出来，删除不掉的病毒就可以用“BC 清除”在重启后病毒还没进驻内存中时就将它干掉。我们也不知道这个病毒是不是很顽固，就用“删除”、“BC 删除”一起来吧。






这时我们先不忙找其它的病毒文件，我们先转到报告的底部，在这里我们看到了一个“脚本命令”编辑框，







我们看到里面有这样几行：


begin

TerminateProcessByName('c:\windows\system32\explore.exe');

DeleteFile('c:\windows\system32\explore.exe');

BC_DeleteFile('c:\windows\system32\explore.exe');
end.

这就是根据前面对“explore.exe”进程所进行的操作而生成的相应的脚本命令。最前面的begin和最后面的end表示脚本的开始与结束。TerminateProcessByName就是“终止”对应的脚本命令，它根据文件名来结束进程，当进程列表中有进程的文件名是括号里文件名时，就结束掉这个进程，这里就会结束掉文件名为'c:\windows\system32\explore.exe'的进程。DeleteFile 就是删除文件对应的脚本命令，后面括号里就是要删除的文件名，BC_DeleteFile就是“BC 删除文件对应的脚本命令”，后面括号里也是要删除的文件名。大家明白了吧，我们每次进行某种操作，都会相应的生成脚本命令，最后我们将这个脚本交给KIS2009去执行，就能完美地清除病毒了。

我们继续往下揪病毒吧。下面是“模块”里的，“删除”加“BC删除”




再下面是“内核空间模块查看器”里的




“驱动”里的，“删除”加“BC 删除”，由于这个病毒的驱动很厉害，不能点“卸载”，我试了下“卸载”，执行脚本时蓝屏了L，我们还是“BC删除吧”



“自动运行”里的，非卡巴的AppInit_DLLs、可疑的run项，统统“删除”、“BC 删除”




Hosts文件也被改了




“可疑对象”里的



最后我们在下面的添加命令到脚本里选择“Boot Cleaner - 启动”(试用BC_XXXX这类的命令一定要在后面写上这条命令)，“在删除文件后执行注册表清理”，“重启”最终生成了下面这样的脚本：

begin

TerminateProcessByName('c:\windows\system32\explore.exe');

DeleteFile('c:\windows\system32\explore.exe');

BC_DeleteFile('c:\windows\system32\explore.exe');

DeleteFile('C:\WINDOWS\system32\HBmhly.dll');

BC_DeleteFile('C:\WINDOWS\system32\HBmhly.dll');

DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel.sys');

BC_DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel.sys');

DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys');

BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys');

DeleteFile('HBmhly.dll');

BC_DeleteFile('HBmhly.dll');

DeleteFile('aaa.dll');

BC_DeleteFile('aaa.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

OK，我们再来到这里





选择“执行AVZ脚本”，粘贴我们的脚本




点击“执行”，然后就会执行脚本，然后显示向导成功完成，由于脚本中有“重启”功能，这时会自动重启。




重启之后，再创建一次系统状态报告看看，哈哈，果然都清掉了，hosts文件也恢复了。咦，等等，还有个没清掉，就是这个顽固的驱动
C:\WINDOWS\system32\Drivers\HBKernel.sys，不过既然知道了它的位置，我们就找到它，右键用卡巴扫描，卡巴检测到后会提示重启，重启后再找，哈哈，那家伙没有了，被卡巴干掉了！如果是卡巴还查不到的病毒的话，就用冰刃先把它复制出来上报给卡巴，再用冰刃删掉它。



HBKernel病毒最近非常猖獗，众多杀毒软件束手无策，只能额外编写专杀，而KIS2009的用户无需下载任何专杀，只需要对系统报告指指点点就能轻松干掉病毒，修复系统，真的是太强大了！实际上AVZ脚本就是一种小编程语言，可以自己手工编写，支持的命令（编程里叫“函数”）有170多个，涵盖了系统修复的方方面面。就靠它您就完全可以抛弃什么“XXXX系统清理专家”、“XXXX清理助手”，而且用自己编写的脚本清除了病毒，恢复了系统，那绝对是有成就感的事。您还可以用自己写的脚本去帮助别人，帅哥们能因此吸引到mm也说不定哦。

[ 本帖最后由 syfwxmh 于 2008-10-11 16:23 编辑 ]

change_018

从头看到尾，作者很有才啊，KIS8果然强大！
可能是先入为主的感觉，总感觉像把sreng、sreng分析助手和XDelBox融入其中的感觉。
真的不错，有机会体验下。

syfwxmh

我只知道AVZ是一个发送给俄罗斯工程师的报告，然后他们会发送回执行脚本然后提供修复

风行空

楼主真有才，原来还有这么个功能阿

love_rain99

才知道这功能,感谢分享

laolaoliu

很好, 很强大, 很谢谢

曜辉

真不错啊,这都让楼主发现了,太厉害了!

polly5771

不错！支持个！！

rainydayer

好像很好用的样子

winson_gun

高手啊～學習了，不過那個HOST的圖我看不出什麽東西，能圈1下么？