查看: 3698|回复: 10
收起左侧

[讨论] 昨天遇到的一个病毒!郁闷~!

[复制链接]
jpzy
发表于 2007-6-5 12:55:32 | 显示全部楼层 |阅读模式
昨天一个朋友说电脑装了卡巴无法启动,让我去看看~!这个朋友是个菜鸟,上次重装系统以后,我给他装了KIS,结果前几天他中了一个Autorun,正巧我出差没在,所以他卸了KIS,自己找了一个瑞星装上了,说是杀掉了那个Autorun!昨天我去的时候,他跟我说后来又装了一次江民,问我卡巴不能启动是不是那两个软件卸载不干净的问题!

去了先简单看了一下,任务管理器表面上看不到问题!因为他装了很多设计的软件,这些软件都带系统服务,所以没发现有问题!但是后来我运行我带去的AVK2007绿色版的时候,发现,运行AVK2007绿色版的安装的时候,应该调用cmd,注册一些组件和AVK的服务,可是屏幕闪了一下DOS窗口就没了!于是,换Dr.WEB绿色版,C盘刚扫描10%就查出了97个文件,其中90多个都是Adware.Cdn,似乎是CNNIC的组件,剩下几个是trojan!在扫描期间,我想清理一下启动项和服务项,但是hijackthis扫描出来的一个可疑项目去不掉,而且控制面板的服务打不开!于是,我关闭了扫描,重启,想进入安全模式杀毒,发现安全模式无法启动,似乎是在调用d*347.sys这个文件的时候,系统自动重启!

没办法,只好回到正常模式,用流氓软件清理助手清理了一堆流氓,然后用任务管理器手动结束那些无关紧要的服务,随着进程的逐渐减少,问题渐渐浮出水面了!进程里面有两个lsass进程,都是system权限,无法结束!于是运行icesword,发现无法启动,只好把icesword.exe改成icesword.com,这才把冰刃调出来!用冰刃结束位于c:\windows目录下的lsass.exe进程,一刷新,它又出来了!

打开冰刃的服务项查看,终于在最后找到了这个东西,用冰刃禁用它,然后停止它的服务项~!这个家伙被关闭了!然后我马上到C盘windows下面删掉了这个文件!心想,这下没事了吧~!准备打开注册表编辑器修复系统,在运行里面一敲regedit,任务管理器里面马上跳出来一个regedit.exe.exe,我晕~~~然后lsass这个进程死灰复燃,服务项也变成了自动!再次结束它,然后用冰刃的文件删除功能一点点的找可疑文件,把regedit.exe.exe,cmd.exe.exe等文件全删掉了!终于确定了,运行什么,lsass都不会出现了,重启,准备进安全模式!发现还是进不去!!

再次回到正常模式想登录网络找找办法,发现网络也无法登录了!提示TCP/IP协议未正确安装!用winsocksfix修复也不行!而且,进程里面已经没有病毒了,资源占用已经恢复了正常(未安装任何杀软,开机80~100M),但是仍然无法安装任何杀毒软件,安装卡巴后,卡巴无法运行,安装微点后,微点无法运行,安装红伞,红伞服务无法启动!但是任何绿色版的杀软都可以启动~!我已经彻底束手无策了!

最后,还是让他格了重装系统的!太郁闷了~!

最近似乎很多病毒都能破坏安全模式啊!想跟大家了解一下,这个病毒有可能是什么病毒呢?遇到这样的病毒怎么修复受损系统?

PS:那个该死的CNNIC,比病毒还可恶!绑定LSP不说,还生成了好多exe文件,想方设法留在系统里面!!!

[ 本帖最后由 jpzy 于 2007-6-5 12:57 编辑 ]
zhaonimm
发表于 2007-6-5 13:14:10 | 显示全部楼层
lsass
最近中这个的也不少哈!!
还有 可能还有其它的病毒进行了 镜像劫持和破坏安全模式!
安全模式可以用SRENG修复的!至于说TCP/IP的问题恐怕是你删除的时候误删了一个服务把!!
镜像劫持现在不少工具可以修复!
deadend1984
发表于 2007-6-5 18:42:12 | 显示全部楼层
落雪不好杀  下个专杀看看  记得升级。。。
好久没来看我们的卡饭了。。。
Giggs
发表于 2007-6-5 20:12:35 | 显示全部楼层
这个毒有点烦人.[:26:]
tracydk
发表于 2007-6-5 21:26:26 | 显示全部楼层
所以现在防毒>杀毒
飘蓝一尘
发表于 2007-6-5 23:41:50 | 显示全部楼层
寒,最近看到类似的情况怎么这么多:无法启动杀软,无法启动冰刃,无法进入安全模式,我的同学就是的,最后格C盘重装系统都有,狂晕,只能选择格全盘,可怜呀
PS:跟LZ学习了查杀毒的经验
batti
发表于 2007-6-6 08:58:35 | 显示全部楼层
SRENG可以修复安全模式以及WINSOCK
AUTORUNS处理IFEO比较方便

另外,病毒不仅仅通过进程和服务方式存在系统,还有DLL注入和驱动等方式
很明显你的处理不全,导致始终无法恢复正常
推荐你几个工具:
SRENG非常好用,功能也比较全
ICESWORD不用说了
AUTORUNS主要扫描各种启动运行项目(其实还包括IFEO,驱动等等)
HIJACKTHIS的LOG功能没有SRENG详细,不过有个延迟删除功能,特定情况有用
PROCEXP更多的时候是用来处理驱动(CLOSE HANDLE)
WinsockxpFix修复网络设置

偶一般常用的就这些
PS:最近IFEO流行,养成好习惯,工具运行之前先改名;打开盘符用右键或者WINRAR,ICESWORD

评分

参与人数 1经验 +2 收起 理由
jpzy + 2 感谢解答:)版区有你更精彩!

查看全部评分

wangjay1980
发表于 2007-6-6 09:01:51 | 显示全部楼层
只有一个难题,就是如果病毒破坏了TCP/IP协议比较麻烦
jpzy
 楼主| 发表于 2007-6-6 16:41:01 | 显示全部楼层
不错!7楼的兄弟说的很有道理!肯定有dll注入了系统关键进程来守护那个lsass.exe!因为我开始用冰刃的删除文件删除病毒的时候,总是一刷新病毒文件又回来~!
后来烦了,没信心了,用红伞绿色版想全盘扫描来着,后来也没扫,干脆让他重装了~!因为就算删除了病毒,TCP/IP协议已经被破坏了,还要修复协议~!
非常鄙视CNNIC,这两天处理的电脑里面都有这个玩意,绑定LSP,处理不好就不能上网~!
nangang
发表于 2007-6-8 00:07:32 | 显示全部楼层
这个病毒去年就有了,我就中了招,什么办法都用过,死活干不掉它,最后只好全格,够缺德的!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 15:40 , Processed in 0.130373 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表