手工+费尔，杀掉一个狡猾的病毒

dave_c

昨天LP把在外面用过的一个U盘插到我的笔记本机子上，结果一不小心，我仅有的杀软Mcafee在闪了几下红色警报后壮烈牺牲了，任我怎么点扫描就是不出来。我心想，不好，常年给别人杀毒，今天自己中毒了。于是一番手忙脚乱了查找病毒踪迹，结果发现这个病毒把显示隐藏文件的注册表项搞坏了，怎么改都是“不显示隐藏文件”，于是又上网找修改注册表的方法，改好后终于中D盘和U盘中的病毒文件Autorun.inf和4139E869.exe，原来又是Autorun.inf搞的鬼。可是这些文件有点顽固，删除了又出来。于是又使出费尔强力木马清除工具所使用的绝招：先在别的地方建两个跟病毒文件名一样的文件夹，然后删除病毒并迅速把这两个新建的文件夹复制过来，这样病毒文件不再出来了。可是C盘的病毒并没有清除，不仅Mcafee不能用了，连木马杀客、HiJackThis等几个扫描工作也不工作了。怎么办？怎么办？突然想过我还有一个费尔送的一年号，于是赶紧安装费尔，可是费尔也不工作了，怎么点都不出来。我想重新做系统，又有点不死心，想再看看。经过仔细观察，终于还是让我找到了一个线索：当我每次点Mcafee或是费尔的时候，任务栏中都会出现一个4139E869的进程，一闪就没有了。于是我把任务管理器开着放在边上，先启动费尔，当那个病毒进程出现的一瞬间，结束掉它，终于我的费尔启动了。费尔一启动，立即报注册表有个病毒，我看也没看就清除了，后来又报发现病毒，删除了。又启动全盘扫描，结果因为还没注册查出来了杀不了。又赶紧注册，再扫，这回终于杀完了。
我又在注册表里查到与病毒相关的项，一个个的删除。发现这个病毒很狡猾，为什么一般在进程里看不到它，而一启动杀软它就先跳出来把杀软结果掉了呢？原来是它利用了一个比较特殊的注册表项：（见图）

它把自己注册为杀软的调试器程序，就会在杀软启动时先于杀软启动。不看不知道，一看真是吓一跳：它把好多常见的杀软和注册表清理工作、系统扫描工作全部一网打尽了。难怪的的Mafee一下子就牺牲了。：（
到这里病毒清理得差不多了，又找到了几个注册表项删除了。吃一堑，长一智。对U盘病毒还是不能大意。下次一定用Mcafee写个禁止autorun的规则，呵呵，气死病毒。
谢谢费尔，要不是有你我的机子不知道会怎么样。
（后来修复了Mcafee，结果它老人家还是不认识这个病毒样本）

kasdywxx

楼主的心得写不错      学习了     在下还未遇到过这种病毒

先打个预防针

shuipao

恭喜费尔也被这个病毒收录了，原来是没有收录的。。。

7－8位随机病毒最近真是太猖獗了啊，基本最近中毒一半以上都是这种。。。

jpzy

呵呵，LZ的手真快，能够在一瞬间关闭病毒进程~！不过，这只是LZ运气好罢了，如果这个病毒隐藏了自己的进程，或者运行时间很快，根本在人的反应能力之外的话，岂不是束手无策了！
手动杀毒还是要想办法利用工具删除病毒的文件，病毒文件被删掉了，再运行杀软或者恢复注册表就容易了~！

aoyang

楼主是因为咖啡的规则不行，设置好了是不会出现这样的情况

费饭饭

学习中......
'不看不知道，一看真是吓一跳：它把好多常见的杀软和注册表清理工作、系统扫描工作全部一网打尽了。难怪的的Mafee一下子就牺牲了。"这个是什么意思?

zzh161

原帖由 jpzy 于 2007-5-31 11:24 发表
呵呵，LZ的手真快，能够在一瞬间关闭病毒进程~！不过，这只是LZ运气好罢了，如果这个病毒隐藏了自己的进程，或者运行时间很快，根本在人的反应能力之外的话，岂不是束手无策了！
手动杀毒还是要想办法利用工具 ...

这种情况一般都用ICESWORD禁止进程的创建

dave_c

建议费尔对注册表的监控也增加对这些Debugger的项目进行一下监视，防止中招啊。

shuipao

应该增加可以自定义键值。

沸沸

难道那个病毒把Icesword也禁止了吗？