裸奔中毒体验……

2011niu

周六没啥事，上午突然收到别人送的辣条，挺开心的

中午没事找出一个年久失修的U盘，打算更新一下PE，我平时有个习惯就是我自己的U盘我会弄个autorun指定一个图标，今天发现这个U盘格式化之后居然还有autorun这个文件，我当时就觉得中毒了，毕竟裸奔多年还乱上网（你懂得……）……终于又可以手刃病毒了

开始

1、检查了一下任务管理器没问题啊，真的没问题啊，都是我认识的程序

2、然后打开autoruns检查启动项，是有一个可疑的常规启动项以及两个不认识的驱动（无签名），启动项c:\program files\microsoft\desktoplaye.exe，filedetection查了一下，全报毒，老病毒我就不上传了，删除之，结果又重写，开powertool强制删除，过一会还是有生成，我去……而且PT也有点表现不正常了，看U盘都看不到目录……这时候检查才知道U盘里面recycler文件夹有问题，我FAT32格式的怎么会有这个文件夹？而且还格式化过，进去看看果然还是那个55k的病毒，名字不同而已，删除又重写……总之尝试各种删除手法无果

3、然后我怀疑注入，毕竟没有明显的可疑进程，power tool检查没什么问题啊，没有被挂dll之类，服务项一个个看过，没问题啊，我就纳闷了，不在内存没有看到运行怎么就能给我重新写入启动文件呢？肯定哪里不对

4、刚开始我以为是插U盘引起的，开始找原因，发现，重启删除病毒文件之后，它并没有立即生成，于是我知道肯定是后面的活动触发了病毒代码，一个个排查呗，由于并行任务不少，我只能不断删除病毒文件并刷新看看，插插U盘，开开网页，最后发现，删除的时候有几次报“在360chrome中打开”，结束其进程后能正常删除，360？不科学啊，虽然是XX软件也不至于做这么低级光明正大的事情啊……继续排查，正在我还是一头雾水的时候，突然，我打开PT时见文件重写，U盘和启动项同时写入，完了，我的手杀工具都沦陷了……

5、只能依靠别的工具了，首先想到eset 的SysInspector（以前用过），快照一看果然有毒，就是前面说道的那几个，但是活动中的文件却没发现什么异常，这叫我怎么手刹啊？，我去……看来手动小工具搞不定了啊，裸奔习惯了不想穿衣服了，下个大蜘蛛扫描一下，快速扫描就出结果了，报vbs.rmnet、Win32.rmnet，大量，几百个吧……查了一下，主要感染html、dll、exe文件，真是中大招了，还好蜘蛛能完全清除，不然数据损失巨大啊，然后全盘再次扫描，几千个被感染的都是小意思啦，全部清除，在后面检查就没什么问题了

6、最后仔细想了想，结合之前的一些活动肯定就是这几天才中毒的，原因还在寻找中……手杀过程还是有些迷茫啊，不太顺利，好在我超级管理员有密码平时普通用户登陆UAC开最高，应该抵挡了一部分 ，这次沦陷之后，我决定，继续裸奔……

各位交流一下，有没有什么值得改进的地方，或者用什么工具会更好？手杀哦~

pal家族

c:\program files\microsoft\desktoplaye.exe
老朋友ramnit

nick20010117

http://bbs.kafan.cn/thread-1856278-1-1.html
desktoplaye.exe明显是ramnit的标志啊，我就中过

2011niu

nick20010117 发表于 2016-6-19 08:37
http://bbs.kafan.cn/thread-1856278-1-1.html
desktoplaye.exe明显是ramnit的标志啊，我就中过

怎么中招的？我至今没想明白

liangxy

有可能感染了exe文件，你的PT都被感染了

nick20010117

2011niu 发表于 2016-6-19 09:14
怎么中招的？我至今没想明白

第一，有可能是u盘里有毒
第二，可能是网页挂马

168888

楼主裸奔的代价还是挺高的，偶就不敢哈

shadowqs

所以看了帖子我决定试一试裸奔大蜘蛛....

尘梦幽然

pal家族 发表于 2016-6-19 00:50
c:\program files\microsoft\desktoplaye.exe
老朋友ramnit

你的老朋友ramnit已上线

神话哈

应该是个毒窝了