主台式机数据瘫痪了，我对江民很失望

ikimi

事件起因：上周计算机突然出现时断时续的卡机现象，任务管理器里查看，WINLOGON.EXE占用CPU几乎100%，几次重启后，还是这样，于是乎，怀疑系统有病毒。我装的是KV2009，我开启BOOTSCAN，在BOOTSCAN中扫描C盘所有东东，结果没有发现任何问题；在WIN下，扫描其他盘符，也NO PROBLEM。但是严酷的事实依然摆在那里，是亟需解决的。于是我拿出SRENG和ICESWORD，想看看系统内核的部分情况，运行SRENG，被告知程序被修改，无法运行；运行ICESWORD，第一次双击无反应，片刻后，再次执行，感觉窗口被刷新了下（图标有闪动），ICESWORD可以启动了，进程列表，乍一看，没问题；切换到SSDT表，问题来了，安装有杀毒软件的系统的SSDT表应该是有部分表项是被杀软所修改并指向其相应程序、服务的，在ICESWORD中，以红色标识，但现在，全黑，说明SSDT被还原了，那就说明我的系统就是有问题了。

事件分析：病毒何时进入我的系统呢？回想我平时的系统操作习惯，在江民主防开启的情况下，安装程序，或者执行些系统核心操作，都会有提示让用户选择放行阻止等（我在安装好设置向导中选择“我精通系统进程”和“精通注册表”，所以主防总是会提示我操作，即我没让江民自行作出判断），有的时候，我想当然认为这个程序没问题，就会暂时关闭主防，更有时，会暂时关闭所有监控。因此，病毒估摸就是趁机钻入的。

中毒症状：除在事件起因中描述的以外，还有：

1、任务管理器终于有一天启动不了了，挪到一个其他位置运行，也不行，但修改下文件名却可以执行，所以我怀疑是被映像劫持了，查阅注册表IFEO相关键值，没发现被劫持；

2、系统登录屏幕选项“使用欢迎登录”和“快速用户切换”没有被禁用，但每次勾选上后，重启又没了，随之产生的现象就是登陆界面像WIN2000的那种模式；

自行处理：

重启进入安全模式，从我的笔记本上拷来SRENG，放到带毒机器上，运行SRENG，确被告知SRENG被修改，无法运行。不会吧，难道我笔记本也中毒了？我首先取得笔记本上的SRENG主程序，并将其复制到空白U盘上，为了确保复制无误，MD5了下此时U盘上的SRENG主程序，MD5值不变。随后，U盘插入带毒的台式机中，用MD5软件查询，我倒哦，MD5值居然变掉了。我立马把此时U盘上的SRENG主程序拿在笔记本上用诺顿360一查，果然提示有病毒了。



这时我祭出2003年买的一个硬盘式U盘，带写保护功能的，重新从无毒笔记本上拷入SRENG，并把U盘设为写保护。重新插入带毒台式机，此时就见U盘等狂闪，我想去运行SRENG主程序，就看见主程序的图标一直读不出，一块白板样。（狂闪好长时间后，还是无法运行SRENG）

至此，得出结论：此病毒嵌入系统内核极深，安全模式下亦可自动加载运行。

我将SRENG的带毒样本复制了份留样。在笔记本的虚拟机中，只装了WINXP SP3和KV2009，监控全开，主防人工手动操作，此时用ICESWORD查询SSDT表，有红色表项指向KV2009，说明正常。然后运行此样本，江民居然视而不见，一点反应都没有。在此运行放在加有写保护的U盘上的ICESWORD，U盘灯又狂闪，半天回过神来，总算ICESWORD可以运行，查询SSDT，却发现，红色表项都没了。同样我用ICELIGHT、阻剑等第三方软件亦出现和使用ICESWORD一样的情况。

此外，我尝试用其他的杀软来看看对这病毒有无反应。测试结果：江民、瑞星、金山、微点统统没反应，SSDT表统统被还原，360杀毒未测试；诺顿发现病毒并清除，卡巴斯基、比特芬得未测试。

我很受伤，很失望，这是我第二次遇上如此难缠的病毒，上一次还是在2006年，不知中了一个什么病毒，整个磁盘上的EXE后缀的可执行文件全部被感染，导致我丢失了很多有用的程序。这次，也不知我硬盘上有多少程序被感染了，无奈，只得先使用诺顿360扫描非C盘（我又一次重装了系统），结果扫出一堆同样的风险，与此同时也就被铁壳给卡擦掉了，我硬盘上可怜的数据啊。

正所谓希望越大，失望越大，那么我想，反过来说，失望越大，是不是希望也就越大呢？我已经将样本提交给了江民，这也是我第一次上传样本，不知江民能否迅速给出一个解决方案（今天上午递交的样本）。等待中。

Palkia

我想要样本

Daigo

原来是这样……该不会是针对江民做得免杀吧

qiao7387

呵呵、无语了！问题解决了吗？

swp2000

原来I姐也会碰到病毒抓狂的时候

江民确实不够完善

ikimi

原帖由 Daigo 于 2009-7-8 20:47 发表
原来是这样……该不会是针对江民做得免杀吧

传统意义上的国产三大杀软全部哑火，微点也没反应。

铩雨骑士

我也想要样本   贴一下吧

haizhison

楼主笔记本上装诺顿   电脑上为什么没装诺顿  是不是太贵了？

ikimi

原帖由 铩雨骑士 于 2009-7-8 21:10 发表
我也想要样本   贴一下吧

样本是贴在这贴中呢，还是专门去贴到样本专区？

ikimi

原帖由 haizhison 于 2009-7-8 21:14 发表
楼主笔记本上装诺顿   电脑上为什么没装诺顿  是不是太贵了？

我手头上目前在用的4台计算机，2台机，2笔记本

其中主台机是KV2009 + RFW2009的组合

主笔记本诺顿360

副台机裸奔

副笔记本瑞星09全功能。