看了帖子,就4页,看了下跟帖,发现不少朋友手上工具一大堆,可是没有真正运用起来.或者是离开了工具,就有些不知道如何操作了.
昨晚看到病毒,down下来打算用沙盘试试,结果还没打开沙盘,就直接点病毒体了.不过也没事,是在虚拟机里.
没杀软没hips没沙盘没组策略,管理员权限,直接运行.
运行后,桌面图标全部被篡改,进入c盘发现文件夹被篡改,统一变成248k(大概是这个数字..记错了别砸西红柿啊~~)
但是所有程序运行正常,说明文件夹并没有被损坏. 有朋友说他所有文件都丢了,放心,没丢,接下来告诉你怎么找回来~
本来想netstat一下,看看是否有向外连接,结果cmd运行不了,怀疑注册表被改.
运行regedit成功进入注册表(这病毒作者咋没把这个禁用...考虑不全啊~),进入后搜索disableCMD,病毒建立一个新的dword,值为2,把dword改成0,cmd可用(这还是病毒作者的疏忽,下面讲讲为什么).
运行msconfig,发现新的病毒加载项,windows下的svchost 和system下的svchost(你说你加载一个就完了嘛,还能混淆下视听,写2个,别人一下就对比出来了,还写到run里,唯恐别人发现不了),
继续regedit ,software-microsoft-current-*******--run项,删除(msconfig里给出了详细路径),刷新后发现run项重新建立(这就是为什么我说是作者的疏忽了,这里知道进程监控注册表..前面的禁用cmd为啥不监控一下...),怀疑有监控进程.
打开任务管理器(就是ctrl+alt+del啦~),发现windows/system下有svchost.exe运行(建议大家下载个可以显示镜像路径的任务管理器,对于查看程序,更加明了.).而正常svchost在system32下.所以直接终止,成功.没有其他进程保护.再次修改注册表run项,成功删除.
重启后,---文件夹选项--显示所有文件--不隐藏系统文件---不隐藏已知后缀名,进入c盘,发现原有文件夹都在,只不过被改成了隐藏属性(并且病毒修改了注册表,隐藏属性不可更改),病毒创建了与文件夹同名的exe病毒体.删除病毒体,修改注册表,还原隐藏属性可改(进注册表改吧,什么?你说哪个项?baidu嘛,google嘛,bing嘛,这么多好的搜索引擎呢~),
全盘搜索svchost,把不在system32下的都删掉.(此时已经没有病毒体在运行了,所以不要担心删不掉) 最后的扫尾工作,搜索注册表所有svchost项,发现病毒创建的都是system/svchost.exe,删除. 还原桌面图标指向(详见好牛的家伙一文http://bbs.kafan.cn/thread-505053-1-1.html 某楼有给出路径)或者自己baidu.因为在虚拟机,只建了c盘,请自行查找其他盘根目录有无病毒体,有就删除. ok,至此,病毒清理完毕!
总结:此病毒用的还是3,4年前的主流病毒技术,没有进程保护,没有镜像劫持,不载入驱动等,也没有禁止浏览器关键字访问..所以还是比较好清除的!
大家有了这么多安全工具,目的并不是来检测自己的杀软,hips强不强,能不能防住.不如逆向思维一下,把hips给出的日志反向分析,就知道如何手动解决了,同时还提高了自己对windows操作系统的认识. |
发表于 2009-6-23 13:32:12
楼主
发表于 2009-6-23 13:41:18
....把这些文件夹图标,exe后缀名的程序都删掉