与遇见的最强木马斗争经过,最终获胜。
(两天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:
现状
1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);
2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!
3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项
;
4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......
分析:
由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。
进入C:\WINDOWS,C:\WINDOWS\system32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。
顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。
然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。
斗争:
1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在
[HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了
同时在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options]下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。
2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。
3.重启,以为大功告成,但是发现症状依旧!
看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)
最终办法:
1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)
2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。
3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。
后记:
写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的
机器情况一定不同,只要按正确的思路,一定可以战胜病毒。
(两天前上网的时候中毒,由于很久没有手工杀毒了,与之斗争2天,最终获胜。现将过程写下,希望对类似的网友有帮助)。
上网的时候机器突然变慢,无法进行任何操作,我意识到中毒了,无奈重启机器。登陆后,发现
中毒现状如下:
现状
1.我用的金山杀软(防火墙、网标)全部无法启动,双击无任何反映,同时发现杀软服务以被禁止,
连IceSword也启动不了(后来发现将防火墙、网标改名也无法启动,但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键);
2.原来的显示的隐藏文件全部不见,点击文件夹选项-显示隐藏文件,依然无法显示武安部文件;同
时QQ号码被盗!
3.打开进程管理器,居然没有发现可以进程,一般的注册表启动项如
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项
;
4.重启想进入安全模式,发现不能进入,看来注册表的safeboot项也被改写......
分析:
由于一时无法从进程上看到什么,就想到现让文件显示出来,按日期看看那些是病毒文件。打开
注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL,双击右边的CheckedValue,将0改为1,点击文件夹选项-显示隐藏文件,这下
看到全部文件了。
进入C:\WINDOWS,C:\WINDOWS\system32,让件按日期排列,发现名为85228E60.hel(估计每部
电脑生成不同的名)的文件创建时间与中毒时间一致,断定为病毒文件之一。
顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件,就搜索。以85228E60(注意不要
85228E60.hel,这样会少很多)为关键字眼搜索注册表。有了,有SysWFGwd2.dll,85228E60.dll
,85228E60.dat,NewInfo.dll等,全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。
然后我们的一般的想法是删掉注册表启动项,在删掉病毒文件。
斗争:
1.首先考虑进入安全模式下,那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot
项导入,重启进入安全模式。根据分析,开始删掉注册表搜索到的包含85228E60的项,例如在
[HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"
含有85228E60.dll,就将28E68522-8522-8E60-228E-522E65228E60这个项都删了
同时在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options]下发现360safe.exe,avp.exe,KAV32.exe,KAVPFW.exe,HijackThis.exe等项
,都在右边生成Debugger的字符窜,值为C:\Program Files\Common Files\Microsoft
Shared\MSINFO\85228E60.dat。
看来病毒能使得主流的杀软失效,秘密在这里。
2.删除病毒文件。将SysWFGwd2.dll,85228E60.dll,85228E60.dat,NewInfo.dll等文件删除。
3.重启,以为大功告成,但是发现症状依旧!
看来太小看这病毒了。经不断的研究,重启,发现,(研究了2天!)开机病毒已经驻留内存,
只要一删病毒文件,马上将内容写入注册表。这时候想到一个好办法,配合IceSword来用。(要将原
来的改名)
最终办法:
1.要保证删掉注册表项后不被驻留在内存的病毒重新写入,就要用注册表的权限。把上面的子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。
然后进入IceSword注册表(因为IceSword注册表可以删除受限的子项,而regedit不能)删除子项
{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒
项。(注意,这一步最关键,一定要限制该项的写入权限。)
2.删除病毒文件。(会有几个仍删不了,重启后在删),打开受禁的金山服务。
3.重启,发现金山杀软(防火墙、网标)已经启动,在检查注册表病毒启动项、病毒文件,已经没有
了。至此结束。
后记:
写这么长的文字,不是要大家完全按我的一步步来作,而是要大家懂得分析的思路。因为每人的
机器情况一定不同,只要按正确的思路,一定可以战胜病毒。