手动杀毒经历分享-现在的病毒越来越难用手动杀了！

yhjtj

　　今天帮同事搞一台单位的机器，本来不想帮忙，但碍于情面还是帮他搞了。
　　中毒症状：杀毒软件没有，可能已经被病毒干掉后卸载了，光驱内有诺顿杀毒的光盘（看安装程序名为NAVCE8CHS.EXE），看来已经找过其他人看过了，光盘忘记拿出来了吧！ 诺顿估计是没戏了。
　　托盘图标安全软件只剩下360保险箱，点击桌面360安全卫士图标，闪了下就关闭了。初步判断中毒了，有映像劫持的症状，任务管理器正常启动，但cpu占用率40%左右，但看不到相应占用率高的进程，初步判断为隐藏进程作祟。
　　在我的电脑内工具-文件夹选项，显示隐藏文件和系统文件选项正常能够勾选，看来病毒做的不是那么绝，任务管理器也可以用，看来是病毒作者对技术很有信心有意开放不怕你玩花样。在地址栏输入d：回车，进入D盘没看到autorun.inf，看来他不是通过U盘传播的（这样做据说可以有效防止激活autorun病毒，不要以为在开始运行输入盘符的方法进入磁盘能管用，这样做autorun病毒也可以被激活）。
　　由于我的杀毒U盘没带，只好借用同事的U盘，下载sreng到U盘，插入（这个过程相当刺激 后面会说明为什么刺激的原因），还好能够运行 ，二话不说先看下映像劫持，果然有猫腻，很多安全软件都被劫持，sreng改还改不了，（估计是加了权限）看到映像劫持里没有红伞，太高兴了，鄙视下病毒作者-你个乡下二哥红伞这么有名气你都不劫持，你真二！
　　下面直接走捷径，安装红伞v9p，3月5日病毒库（用的是安装版手头没有绿色版，懒得升级了，顺便考验下红伞的能力），顺利安装并扫描，乖乖，还是感染型的，很多程序都被感染了，病毒主体躲在fonts和windows目录下，扫了一圈干掉了一百多个，sreng强力修复一下发现映像劫持修复不了，始终指向c：\　\mmm.exe而且看不到该程序，例子：Image Execution: ACKWIN32.EXE - c:\\MMM.exe  那位高手能够解答一下病毒本体在哪里？不胜感激！我一定要人气给人气，要片给片！
　　看来没有杀干净，下载冰刃、狙剑、wsys、xt。插入（又到了非常刺激的环节 ），mygod解压缩后只有xt文件夹有文件，其他文件夹毛都没了，都被删除干净了，而且打开任意带有辅助工具名的文件夹界面都是空白一片，始终停留在窗口右上方，且弹出窗口，类似alt+空格的效果，且无法进行任何操作 ，发送消息？假死？我倒，病毒太凶残了，简直是令人发指！（终于知道前文说的为什么这么刺激了吧，sreng因为侥幸才能打开，难道病毒作者和sreng的作者有什么渊源不成？ ）
　　惊魂未定，打开xt，还好正常工作，打开C盘但没有发现所谓的mmm.exe，只有几个红色的文件，而且尺寸不对，不是太大就是0字节。进程没有发现异常，没有提示xt被插入线程警告。看看模块信息没看出有什么，钩子ssdt窗口正常，本人水平有限，呵呵！
没办法转到映像劫持，发现劫持还在，选择所有点右键，惊喜的发现，xt有删除注册表项并删除对应文件的功能——真是雪中送炭啊！ 毫不犹豫删除。刷新下，没有再出现了。再次解压安全辅助工具，解压成功，运行成功！说明病毒体已经完蛋，ohyes！
　　安装pct，重启后，发现各项指标正常，360安全卫士也活过来了。联网升级红伞，再次扫描，没有任何发现，360漏洞修复118个补丁，mygod！
　　开机后提示C盘空间不足，看了下吓了一跳，占用了29g空间只剩几百兆了，找了找，原来是红伞的隔离文件，竟然有26g，谁来解释一下怎么这么大的啊？ 删除了事！，后来真的很后悔，忘记留下样本了，更遗憾的是病毒主体mmm.exe没有提取到。

　　至此本人的一次惊险曲折而且刺激的查杀经历终于写完了（男性同胞们肯定感同身受），幸好本人宝刀未老，差点没搞定！
经验总结一下：1、对于国内使用率低的冷门杀软对于手动杀毒是很有帮助的，这是一条捷径，省去了分析的过程。
                         2、冷门的辅助工具对于凶残的病毒效果很好，在此感谢xt的作者能够做出如此优秀而且低调的好工具，希望xt继续低调，不要被病毒盯上！
                         3、对于冰刃等安全工具最好选择单文件版本的，而且要改名，事先拷贝到U盘内，不要直接拿论坛的附件直接使用。（希望版主能够在软件后加上说明，或者直接改好名字提供下载）
                         4、杀毒过程中最好断网，确认无毒时，或者灭活后，才可以联网，最好装上防火墙后再上。
　　　　　　　5、希望大家最好平时准备好pe杀毒光盘（这是杀毒的捷径），最好把常用杀毒工具也刻录进去，有备无患！
                          6、本次杀毒过程非常的简单而快速，多亏了小红伞和那个排行老二的作者的帮助，另外要检讨一下自己，由于家庭和事业的双重原因，平时图省事快捷养成了懒惰的习惯，没有苦练杀毒基本功，一直在吃老本，这次差点马失前蹄，而且这次杀毒过程中做事比较草率，没有养成截图和保留样本的好习惯，突出表现了本人马虎的的缺点，在以后的工作学习中我一定要端正态度，改正自己的缺点，克服性格上的缺陷.......以下省略500字。



百度了一下发现这个很相似，里面有个样本有兴趣的朋友可以研究一下
http://www.arswp.com/bbs/viewthread.php?tid=39787
打得比较乱，还有错别字，大家海涵，凑活着看吧，希望能够帮到你，打完收工！
感谢广大卡饭对本贴的支持，尤其是加人气和经验的几位。谢谢大家！



[ 本帖最后由 yhjtj 于 2009-4-29 09:33 编辑 ]

小静电

非常不错的说，感谢楼主分享自己的经验了。

xinhaozs

楼主还是很厉害的啊！下次我中毒也找你哈！
看来我也得搞个虚拟机去练习练习 手杀

yhjtj

说实话，我是菜鸟，只是会几样工具的入门应用而已。
请各位菜鸟记住：冷门工具包括冷门杀软，是手工杀毒的捷径，pe杀毒光盘是王道，剩下的就是打扫战场而已。

wcyxj123

坐下来看看！

solag

慢慢地点跟烟  慢慢的看
手动杀毒的要学习

coolhui

以前也遇到过和楼主类似的病毒，映像劫持、感染型的，指向的主体是mm.exe，难到病毒作者是同一个人？不过查杀没楼主那样麻烦，清理助手就搞定，然后用NOD32全盘扫描删除了感染的文件。

天月来了

凑活着看完了

我也建议中毒后，临时换杀毒软件试，这个比较容易点

solag

以前没工具的时候中了那个麻烦啊 想起来头疼

tawny2008

过来支持一下，楼主现在才知道xuetr是好东西啊