北羊 2007-5-24 13:12
新病毒清除手记
1.早上,领导用机发现新病毒,诺顿报警:清除失败,然后诺顿无响应
2.重起查杀,反复出现
3.安装金山毒霸,安装过程中,毒霸被感染
4.病毒大爆发,走入死胡同
5.冷静思考,找出新方法
6.删除病毒,重新安装杀毒软件
7.中午,上报发现的病毒文件,结果慢了人家一步,已经有人上报了
北羊 2007-5-24 13:30
开始,头儿说机子报病毒了,我看了一下,还是昨天清除过的upxdnd系列木马,真是烦……
诺顿报告发现病毒,但清除、隔离、删除均失败,并且失去响应……诺顿就是这点不好,经常发现了杀不了
清除几次都不成功,诺顿一操作失败就不再响应,一气之下,找出老旧的金山毒霸六安装,结果就序列号问题又折腾了半小时,装好毒霸,下载升级包,安装,重启~~~~
重启后麻烦大了,注册表打不开,系统服务列表打不开,诺顿打不开,金山毒霸也打不开……
以为是金山跟诺顿冲突所致,于是准备删除诺顿,结果发现,添加删除程序也打不开……
还好,利用优化大师的完美卸载给删除了,重启,症状依旧……
无奈,手动清除吧,但几次删除后又都出现了……
上网找到了upxdnd系列木马清除说明,(怎么没人弄个专杀出来)按步骤删除,发现许多文件删除不了
安装unlocker,将文件一个个解锁删除,发现许多文件都是被毒霸六的kavsrv文件锁定的……
升级毒霸,结果反复报警,居然都指向毒霸安装文件夹,我晕……毒霸,毒窝?
卸载毒霸,失败,我晕,真他妈成了“毒霸”了……
怒呀,删除毒霸文件夹,配合unlocker,将毒窝剿灭了……
然后病毒就火了,开始疯狂报复……
一删除文件,或者用右键点击某文件或者文件夹,explorer就报错,关闭重启,打开C:\windows发现本该存在的病毒文件居然一个不见.
打开文件夹选项,显示系统文件,显示隐藏文件,回来看看,还是一个不见……
还好我知道怎么回事,打开注册表改一下就行……但是,注册表打不开
北羊 2007-5-24 13:39
开始晕菜了,upxdnd系列木马好像没有这么牛B的行为吧,这是啥呀?
想运行任务管理器来看看,打不开……
服务列表,打不开……
系统信息可以打开,看看,一堆不认识的进程,全在c:\windows c:\windows\system32下面,但打开这两个毒窝,却又一个不见,见到的也删不掉……而且,系统信息可以看不能关
还好,偶还有优化大师,打开优化大师,进程管理,刚结束了一个什么进程,死机,无奈,硬重启reset
重新开机,一切照旧,无可奈何下,还得靠优化大师,
进程管理,把几个不认识的进程一劲儿狂关,这回儿没死机,但有两个进程根本关不掉,关了又开,关了又开
开机优化,把启动项一劲儿狂删,有两个项目根本删不掉,删了又来,删了又来
看看名字,好家伙,这可不是upxdnd系列木马中的成员,上网一查,pkeusvq.exe和ngpycxm,百度中只有三个结果,全是今天发的,没有其他信息,看来是新病毒了,原来想用杀毒软件的想法是肯定不行的了。
北羊 2007-5-24 13:54
进程中的可疑进程给关得只剩下pkeusvq.exe和ngpycxm两个互相保护,试着按了一下三键,呵,任务管理器跳出来了,打开注册表,跳出来了,呵呵,真好。
打开注册表,更新表项,显示所有文件,成功,一通狂删,pkeusvq.exe和ngpycxm两个依然牛B,删也删得掉,刷新就重生。
结束进程,成功,半秒后立即重生。
进入注册表RUN项目,把一堆开机启动全删了,但pkeusvq.exe和ngpycxm两个又表现出了令人郁闷的死硬态度,就是删不掉,删了,一刷新,又出现了…………要由我来命名,干脆就重生病毒算了
重启,进安全模式,结果进入安全模式就重启,进入就重启,几次下来,一直如此
无可奈何,又回来正常模式
死胡同如下:
[color=red]两个进程无法停止,只能让它们开机不启动,但安全模式进不了,注册表项又删除不了
也就是说根本无法阻止它们开机启动。[/color]
[[i] 本帖最后由 北羊 于 2007-5-24 13:55 编辑 [/i]]
北羊 2007-5-24 14:04
没想到碰碰说的WINPE,但经过北羊大脑1.0版以6GHZ的超频高速疯狂运转2分钟后,终于想到了解决办法。
设置权限,把启动项删除后,设置RUN项的权限,让任何人都不可以访问,这样不就可以阻止启动了么,呵呵,但是……
你要设置了权限,自己不能访问,就根本不能删除,要自己有权限,病毒又可以更改,因为病毒的权限跟你目前是一样的,删除掉病毒启动项,想在它们重生前设置好权限,那根本不是人能有的速度,写个批处理,又不知CACLS能不能改注册表项目,再说,也不知道病毒多长时间刷新一次,要是只有十分之一秒,那连执行批处理也未必来得及~~~~
又是一个死胡同~~~~
不过还好,超频了的大脑就是不一样,这个死胡同很快就走出来了
北羊 2007-5-24 14:22
没想到使用碰碰所说的WINPE,但在北羊牌大脑1.0版以超频9.0GHZ的高速运转下,终于想到了一个办法.
把RUN更改后设置权限.
这事说起来挺简单,但做起来还有点难度,因为必须在删除病毒启动项后,病毒自动恢复前将权限设置好.因为你能改,病毒就能改,病毒不能改了,你也就不能改了.虽然北羊的大脑超频后可达到9.0GHZ,但手速却只有9HZ,要跟病毒抢速度,还是一个mission imporsable,考虑使用批处理?先把程序写好,更改权限后立即执行该程序?把对手速的依赖减少了,但还是有依赖……
又是一个小胡同…………
不过,还好,手速不足大脑补
把所有用户的权限全部删除
回到我自己的机子,打开注册表,联接网络注册表,用另一个用户登录,更改RUN权限,只加入自己,删除启动项,刷新,哈,生不出来了
回到领导的用机,重启,打开任务管理器,哗,真干净哪,包括QQ只有17个进程。
接下来的事就顺理成章,到系统目录中删除病毒文件就大功告成了,当然删除前打包了一下,想传给毒霸~~~结果上传时人家说已经有人传过了,晕
然后恢复RUN项目权限,重新安装杀毒软件,等着软件升级吧~~~
北羊 2007-5-24 14:24
咦,他妈的,刚刚上面那帖不是没有了么?
刚刚写到倒数第一段,发表后网络不通,刷新后发现连倒数第二节也没了,在记事本时重新写过,再发上来,居然又出现了,我晕~~~
两个版本,大家都看看吧,:lol:
北羊 2007-5-24 14:25
写完了,干活去了
赵高 2007-5-24 18:45
不知道专杀工具出了没有?
抽涕的脸 2007-5-24 18:56
不错,姜还是老的辣!学习啊!
a631320719 2007-5-24 19:13
学习学习啊
donejob 2007-5-24 20:56
回复 #13 a631320719 的帖子
感慨啊 只有超频的脑子才想得出这么多招 要是俺碰到就直接重装了!呵呵!!
枫之叶 2007-5-24 21:50
呵呵!只能说佩服!!果然历害!!
wawawa 2007-5-24 22:04
真不错啊,厉害啊
xhumanl 2007-5-24 23:48
从用户权限来考虑
确实不错
nabla 2007-5-25 06:05
You are niu. very niu.
kingstar 2007-5-25 08:23
从上面看北羊技术好,最好的却是写文章
闲来无事 2007-5-25 11:43
我个人通常都是用Icesword来解决顽固性病毒的。:lol:
fefe 2007-5-25 17:01
强烈推荐sreng,杀毒软件真是不可靠呀
谢谢LZ把查杀的经验分享出来
PE启动杀毒也是个办法
但是有没有人搞个PE下杀毒的教程,很想了解一下
:D
sbvtgo 2007-5-26 00:32
确实强,学习
nable008 2007-5-26 10:37
多一些工具多些方法,冰刃删除文件,syscheck查杀,还有微软自己的一些工具如ProcessExplorer.
benqaigo 2007-5-26 16:22
学习,学习.很有借鉴价值呀.
呀呀学语 2007-5-28 12:53
难得见一回的文章了啊 ,现在都有时间来慢慢杀毒了啊,现在病毒真讨厌就是了,以前的一些老的手法开始落伍了
zzh1977 2007-5-28 17:47
果然牛比
zzh1977 2007-5-28 18:08
有个问题,你用的这个用户是域管理员还是在领导电脑上新建的用户。
tom_cat 2007-5-30 08:46
北羊别埋怨诺顿,诺顿是求稳定前提的安全,再遇到这种情况到安全模式下启用诺顿肯定能杀掉病毒。
rdi521 2007-6-5 14:38
有点看小说的感觉 `` 嘎嘎``
zha119001 2007-6-5 16:34
厉害
ybbwang 2007-6-6 10:20
超频的脑子就是好..杂练出来滴?
雨之宁静 2007-6-10 13:41
嗯嗯..感觉还是手动好..工具要用.但是太依赖工具也不好..
[[i] 本帖最后由 雨之宁静 于 2007-6-10 13:43 编辑 [/i]]
shinedream 2007-6-12 14:25
高手啊,学习了。原来用PE这么好!
oreap 2007-6-12 14:40
真是不容易啊,有少做了一次系统啊!
juhuapkpeng 2007-7-3 14:53
哦,还不了解winpe,谁帮忙给介绍下,谢谢啦~~~
lovejane 2007-7-3 15:59
过程再详细点
何时才能飞 2007-9-1 16:30
我还是喜欢你讲述的细节方面
liuyi0108 2007-9-1 19:44
刚刚楼主所说的病毒 , 是有专杀的啊 是 安全卫士360 就可以搞店的拉 我这边早就试过了啊
haven_gr 2007-9-3 13:07
其实,碰上这样的病毒,我的办法是:
1.找出其主程序及关联程序
2.在安全模式下干掉所有能干掉的
3.重起,进入console
4.把最后的顽固分子删除(或者改名移动等)
5.重起到正常模式,该打补丁的打补丁,该升级的升级
