原创Byx0210实战一 之手动杀掉AV终结者

byx0210

首先说明，这是我朋友家中的，其用的咖啡。我没用专杀，但是它符合AV终结者的所有特征，姑且叫这个名字
其次，如果不太认识咱请参见http://bbs.kafan.cn/thread-327019-1-1.html[:27:]
话归正题。
某日，我在朋友家打开卡饭，紧接着就被关闭。深度等等依旧，反正只要是有关病毒，安全就远离。
于是怀疑，怀疑，再怀疑。。。就认为是病毒。。。。
下载冰刃，SRENG,AUTORUNS,PROCESS EXPLORER等等。。。
结果发现只有SRENG打得开，于是打开。首先看见启动项中有两个东西。仔细看了一下
file:///C:/DOCUME%7E1/ADMINI%7E1.189/LOCALS%7E1/Temp/moz-screenshot.jpg
见附件图1，在MSINFO里有4DOA2314.DAT的随机八位病毒
紧接着我们来看看劫持了多少安全软件？哇！主流的10几款杀软和一些杀马工具和冰刃等辅助工具映入眼球。。。。。
一大堆呢，我截取了一小部分，分图2和图3
我便把ICESWORD那项删除。然后就可以打开冰刃了。
在进程中发现了一个TMP文件，查看模块发现有4DOA2314.DLL,便结束进程。
还有1个进程中也有此物，便杀之。
在BHO中发现一个关系上网的BHO，而且是随机八位~~（名为GRA8E1~1.DLL，不是微软的东西啊，我的电脑上写的微软，他的不是，而且也不应该出现BHO中。见图4），于是杀之
SSDT表中有好几个d374bus.sys，并且有和密码有关。。。。他要干什么？我把这些全部删了。见图五
在rundll32中发现模块4DOA2314，强制删除其模块。图6
顺便说一下，该计算机还算半个肉鸡（见图7），取消之哦。。
在CMD中发现所有磁盘被共享。。
打开硬盘，发现无法显示全部文件。见图8
于是修改注册表，搞定。发现一个AUTORUN和3个随机八位的文件
以下是AUTORUN的：Autorun.inf
[D:\]
[AutoRun]
open=4D0A2314.exe
shell\open=打开(&O)
shell\open\Command=4D0A2314.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=4D0A2314.exe
[E:\]
[AutoRun]
open=4D0A2314.exe
shell\open=打开(&O)
shell\open\Command=4D0A2314.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=4D0A2314.exe
[F:\]
[AutoRun]
open=4D0A2314.exe
shell\open=打开(&O)
shell\open\Command=4D0A2314.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=4D0A2314.exe。
将以上所有症状全部杀掉后，可以上安全网站了。下载了金山AV专杀，扫描出了几个剩余的文件后系统恢复正常

感谢支持。

（PS：国庆的时候去别人家，争取陶到别的Virus。
这只是一期。。。

byx0210

来沙发。希望有人赏个月饼

chenwei54

月饼吃完了
包子要不要