作者:李铁军
今天有个朋友中了招,要我帮他解决下。详细了解完,已经觉得这样的病毒对于普通用户来说,差不多算无治,重装系统成为唯一的选择。
现象:
朋友装的不是毒霸,QQ远程过去一看,他装的杀毒软件只剩下一个空壳,右下角系统托盘的图标还在,安装目录下的文件所剩无几,已经完全不能抵挡病毒的攻击。
尝试下载毒霸安装包,双击一闪安装程序就被关闭了。下载清理专家安装包,双击后,发现安装程序已经被删除,运行冰刃、Sreng的后果一样。还好,还能运行autoruns,隐藏微软签名的加载项后,发现10-20个DLL加载在Appinit,映像劫持的项发现几乎所有安全软件被劫持到ntsd,这个修改差不多是针对金山清理专家来的,金山清理专家会把映像劫持项完整列出,对非系统文件会报告为可疑或已提交或病毒名。而病毒用正常的程序文件来完成劫持就会被报告为安全,这样就能躲过普通用户的眼睛。要说这一点,应该算是金山清理专家的一个技术缺陷,已经建议研发部针对此项恶意行为升级。
使用autoruns删除这些项是徒劳的,删完一刷新,就发现被病毒改回来了。把那几个安全工具改名后运行,也全部失败。估计用Process Explorer可以解决问题,这个工具并不常用,是个不错的进程管理器,显示的项目也很全。
问过朋友,说中了这个病毒,进安全模式会蓝屏,自己的QQ已经多次提示在别的地方登录,显然已经被盗。遂建议朋友试下用winpe光盘引导后,再使用Sreng或autoruns,用手工方法把病毒干掉。朋友说没WINPE这东西,已经失去修复系统的耐心。
最后,这台机器还是备份文档后,重装完事儿。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
