一个非常强悍的病毒，目前没有工具能够清除，搞了2天都没解决，希望大牛帮忙

zuo

http://bbs.kafan.cn/thread-1061814-1-1.html

这是个ADS流病毒

运行XT，PT被关闭，且文件不久被破坏

映像劫持该文件，重启，再重新下载XT，终于可以运行了

但XT，无法发现其驱动文件，类似于tdss.tdl3

而且要摘除内核inline钩子才能检测服务，否则XT会出错退出

然后运行tdsskiller,能查出来但杀不掉

进入PE对比md5，无效

用gmer检测出来驱动修改，可是替换后，病毒依然复苏

而且硬盘PE下，无法删除病毒文件

后来我替换了所有驱动文件

用火流星删除病毒文件（ADS流），删成了0字节

删除启动项

最诡异的事发生了，病毒依然复苏了

实在没办法了，求各位大牛相助

PS：这个病毒好像剥夺了所有驱动的权限（包括安全工具的）



这个病毒在某些情况下会无法发作（我遇到过一次）

x-da

沙发支持
貌似很棘手呀~

留侯

大蜘蛛侦测此病毒为：Trojan.DownLoader4.46703
对此的定义和解释是：
http://vms.drweb.com/virus/?i=1301055

a839386522

看看

gtyre1

看到群里有链接，点进来看看
感谢分享

122693882

不敢试  也不敢让他发作啊

122693882

不敢试  也不敢让他发作啊

小v可

MBR 重置过吗？感觉是病毒貌似修改了MBR

郑伟用户

PE下导出MBR让大牛分析一下吧

小v可

D:\yangben.exe

PID=592
大小=0
MD5=N/A
内存操作列表

ID

操作         
细节
1        创建新进程        00000034*
C:\WINDOWS\explorer.exe

PID=1724
大小=978432
MD5=9EB867933136AD37EAF7F2ECB97E3A4D
可疑行为列表

ID

可疑行为         
可疑级别
1        创建远程线程(G14)        low
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        D:\yangben.exe        删除文件        N/A        N/A
2        C:\WINDOWS\$NtUninstallKB30720$        创建目录        N/A        N/A
3        C:\WINDOWS\$NtUninstallKB30720$\589190261        创建文件        N/A        N/A
4        C:\WINDOWS\$NtUninstallKB30720$\4292769825        创建目录        N/A        N/A
5        C:\WINDOWS\$NtUninstallKB30720$:SummaryInformation        创建文件        N/A        N/A
6        C:\WINDOWS\$NtUninstallKB30720$        改变文件属性        N/A        N/A
7        C:\WINDOWS\$NtUninstallKB30720$\4292769825\L\xcpnlgaj        创建文件        N/A        N/A
8        C:\WINDOWS\$NtUninstallKB30720$\4292769825\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}        创建文件        N/A        N/A
注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKLM\SOFTWARE\Classes\Interface\{063e35bb-b7c3-be13-ab34-72d84a9714e9}        创建注册表键        N/A        N/A
2        HKLM\SOFTWARE\Classes\Interface\{063e35bb-b7c3-be13-ab34-72d84a9714e9}        设置注册表键值        u        134
3        HKLM\SOFTWARE\Classes\Interface\{063e35bb-b7c3-be13-ab34-72d84a9714e9}        设置注册表键值        cid        2819073064920626732
4        HKLM\SYSTEM\ControlSet001\Services\.redbook        创建注册表键        N/A        N/A
5        HKLM\SYSTEM\ControlSet001\Services\.redbook        设置注册表键值        Type        1
6        HKLM\SYSTEM\ControlSet001\Services\.redbook        设置注册表键值        Start        3
7        HKLM\SYSTEM\ControlSet001\Services\.redbook        设置注册表键值        ImagePath        \*
内存操作列表

ID

操作         
细节
1        创建远程线程        C:\WINDOWS\system32\winlogon.exe
2        加载驱动        C:\*
C:\*

PID=1724
大小=0
MD5=N/A
注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKLM\SYSTEM\ControlSet001\Services\.redbook\Enum        删除注册表键        N/A        N/A
2        HKLM\SYSTEM\ControlSet001\Services\.redbook        删除注册表键        N/A        N/A
3        HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_.REDBOOK\0000\Control        删除注册表键        N/A        N/A
4        HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_.REDBOOK\0000        删除注册表键        N/A        N/A
5        HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_.REDBOOK        删除注册表键        N/A        N/A
C:\WINDOWS\system32\services.exe

PID=684
大小=108544
MD5=5EDC33C1CFC364BC2E3EA66A75647914
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        C:\WINDOWS\561569535:2197470.exe        创建文件        N/A        N/A
注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKLM\SYSTEM\ControlSet001\Services\ffde7821        创建注册表键        N/A        N/A
2        HKLM\SYSTEM\ControlSet001\Services\ffde7821        设置注册表键值        Type        1
3        HKLM\SYSTEM\ControlSet001\Services\ffde7821        设置注册表键值        Start        3
4        HKLM\SYSTEM\ControlSet001\Services\ffde7821        设置注册表键值        ImagePath        \systemroot\561569535:2197470.exe
内存操作列表

ID

操作         
细节
1        创建新进程        561569535:2197470.exe
未知

PID=未知
大小=0
MD5=N/A
内存操作列表

ID

操作         
细节
1        安装内联钩子        源地址:  0x804F090D 目标地址:  0xB220B0F5
C:\WINDOWS\system32\svchost.exe

PID=1008
大小=14336
MD5=E31FB4F13F5949B868C117714BB44375
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        C:\WINDOWS\system32\wbem\Logs\wmiprov.log        创建文件        N/A        N/A
C:\WINDOWS\system32\winlogon.exe

PID=640
大小=493056
MD5=440EDA2420CFA1B3B2AB4725FC33825D
内存操作列表

ID

操作         
细节
1        创建新进程        taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

PID=1768
大小=122880
MD5=570D8194F898DAC39DD071DB0E9DB75F
注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKCU\Software\Microsoft\Windows NT\CurrentVersion\TaskManager        创建注册表键        N/A        N/A
2        HKCU\Software\Microsoft\Windows NT\CurrentVersion\TaskManager        设置注册表键值        UsrColumnSettings        1C 0C 00 00 34 04 00 00 00 00 00 00 78 00 00 00 01 00 00 00 1D 0C 00 00 35 04 00 00 01 00 00 00 23 00 00 00 01 00 00 00 1E 0C 00 00 36 04 00 00 00 00 00 00 5D 00 00 00 01 00 00 00 1F 0C 00 00 39 04 00 00 00 00 00 00 64 00 00 00 01 00 00 00 20 0C 00 00 37 04 00 00 00 00 00 00 78 00 00 00 01 00 00 00
3        HKCU\Software\Microsoft\Windows NT\CurrentVersion\TaskManager        设置注册表键值        Preferences        9C 02 00 00 E8 03 00 00 02 00 00 00 01 00 00 00 01 00 00 00 0A 00 00 00 0A 00 00 00 9E 01 00 00 B3 01 00 00 01 00 00 00 00 00 00 00 02 00 00 00 03 00 00 00 04 00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00 00 00 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 04 00 00 00 06 00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 6B 00 00 00 6B 00 00 00 23 00 00 00 46 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 47 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00



监视了下病毒行为 发现没什么可以利用的 还是删不掉  这病毒吊爆了~~