有史以来我见过的最牛B的病毒

ghwzone

昨天晚上9点左右，浏览网页，无意间看到有个软件，说明是这样写的，揭露台湾当局内幕，我点了一下，提示说由于他们的网站被屏蔽，让我下载地址自动更新工具，我下了。是exe格式的，当时我就起疑，因为我以前被这样的病毒搞过，我还专门用红伞杀了两遍毒，我的红伞是S版的。觉得没问题了，我打开了这个exe文件，一个cmd命令窗口一闪而过，然后我的红伞自动锁起来了，然后从任务栏消失，我知道中招了。。。

我从开始菜单运行红伞，没有任何反应，系统也没明显中毒现象。我到网上查了查相关信息，网上说的好像是驱动病毒，说一种叫机器狗的病毒，会进驻系统进程，杀毒软件不报，然后从网上xxx.xxx.xxx.xxx指定网址下载木马病毒等软件，再打开你机器的局域网，迅速在局域网传播等等等等。。。没过多一会红伞图示有xxx.exe连接网络，是否同意，我赶紧拒绝，后面接二连三出现几个，我纳闷红伞被干掉了，它的网络防护进程倒还是正常。。。我也查了如何杀这种病毒，麻烦的很，突然想起来我还下载了个kis2010，以前我是卡巴的忠实FANS，因为它杀毒强筋，但后来因为太占系统资源，倒是系统很慢，我换了杀毒软件，ess用过，现在换红伞了，我装好卡巴，选择试用。一般情况卡巴会马上弹出来提示病毒库过期的，这次没 一点反应，我从开始菜单运行，提示没有找到可执行的程序，我到目录一看除了两个帮助文件外，其他的空空如也，我想这病毒太牛B了，竟然干掉两大牛B杀软。。。

没办法只好重装了，反正我的系统好久没搭理过了，无意间看到vista深度GV1.2的盘，想着装这个系统耍耍吧。装好，驱动也都装好，正准备着手装常用软件，突然系统主题一下变成了经典主题，我到主题选项Vista主题已经消失，我上网查原因，有的说驱动没装好，虽然我知道不是驱动问题，但我还是重装了显卡驱动，装好重启，好了，但没过一会又经典了。。。我到工具盘想装个ess杀杀毒试试，一看80%的.exe文件变成了几十K，有的甚至几K的大小，我懵了。。。全部删除，有去网上下载新的杀软，想着速度慢，先装迅雷吧，装好直接提示，丢失xxxx.dll文件，重装软件可能会修复这个问题，我倒，幸好我还有FlashGet，运行了一下正常，着手下载，等了一会郁闷了，一看下载速度<10K，我电信的ADSL，平时最慢下载速度也在200-300的，我崩溃了。。。不至于要重新分区吧，那我可糗大了。

我还留了一手，打开机箱，拔下硬盘数据线，电源线，拿出我的备用硬盘（朋友升级机器送我的，80G ST的薄盘哦）插上，我想着装上卡巴然后把我原来160G的ST硬盘挂上杀毒试试，要是还不行，那我真的要重新分区了，这样的话一些重要的东西都要毁于一旦了。我更新好卡巴一看表12点了，算，睡觉，明天搞。

我见过的病毒多了，自己中招的也多了，但这种病毒我第一次见，还有谁中过类似牛B的病毒哇？有没有什么解决办法啊？我在办公室发的帖子，中午回家继续人毒大战。


我传上来最初我杀了两遍毒，没报的病毒样本,小心哦，很猛的。


[ 本帖最后由 ghwzone 于 2009-10-9 14:34 编辑 ]

cc56cc56

来路不明的EXE文件怎么能去运行呢~~~

ballakay

楼主搞定后发个样本上来!我来鞭尸!

Soma Cruz

可以扫份sre报告，发到救援区

ghwzone

问题是我找不着病毒，杀软都不能运行，网上说这种病毒貌似在windows/system32/driver目录下，随驱动程序一起加载，但我又不知道是哪个。。。

[ 本帖最后由 ghwzone 于 2009-10-9 10:23 编辑 ]

heroboy0923

原帖由 ghwzone 于 2009-10-9 10:22 发表
问题是我找不着病毒，杀软都不能运行，网上说这种病毒貌似在windows/system32/driver目录下，随驱动程序一起加载，但我又不知道是哪个。。。

你下载的那个原始文件呢，或者链接之类的？

ps：从这件事可以看出，仅仅依赖特征码的杀软还是不够用，必须辅以主防

SONGLEI

杀软倒掉的时候只有用ARK工具了，如果不熟悉，推荐WSYSCHECK，有清晰的颜色区分，可辅助判断。

R.T

没样本

ghwzone

那个样本？我运行一下，dos窗口闪一下连带样本一起消失了，我中午回家再下载一个样本发上来看看。

ghwzone

我发现卡饭论坛高手比麦田的多啊，同一时间发两个帖子，麦田的帖子沉了。。