同事电脑启动后只出现背景,没有图标、没有任务栏,别说,还剩下一中文输入法状态条(上次漏下的),同时还出现伴随类 DOS 窗口的”无效指令”的提示框,有关闭和忽略两个按钮,文件路径没记下太多,有指向临时目录的(temp),还有一个是 c:\windows\system32\dllcache\explorer.exe,看来这是桌面消失的原因了,不光是 windows 下的 explorer.exe,包括系统备份 dllcache 中的 explorer.exe 也全被病毒破坏了。
本想启动任务管理器,按 ctrl+alt+del,点选任务管理器,出一黑色类 DOS 窗口,关闭后就又平静了,看来任务管理器也报销了(被劫持)。
用带 WIN PE 光盘(这个是深山红叶的 PE 系统)启动电脑,选择硬盘系统的注册表,进入 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options(IFEO,映像劫持的大本营),看了下,真不少,从 360、各种杀软,到 icesword、hijackthis、SREng 等都劫持了,劫持项指向 svchost.exe(除了输入法 ctfmon.exe 是劫持到 soundman.exe 外,其余全是 svchost.exe),真节约,用系统文件(确实是系统的 svchost.exe)来劫持。
把凡带有 debugger 值为 svchost.exe(包括 soundman.exe)的全删除(连 Image File Execution Options 的下面也有 debugger)。太多了,只先删除几个等会要用的文件名,如任务管理器(taskmgr.exe)、SREng 等,其它的等以后再说。
又检查了下 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下,果然有不少木马的启动项,什么 avpsrv.exe、updnd.exe 等等,反正留下输入法和杀毒软件全可以干掉。顺手到 windows 和 system32 目录下用时间排下序,检查最近生成和修改的文件,对照刚才注册表启动项中的病毒文件名,删除当天生成的几个 exe、dll 文件,还有几个 cfg 文件,文件名一看就是随机起的,不象好东西,又是当天生成的,也一起删除。(注:如果你无法判断病毒文件,这个删除文件的步骤可以跳过,先把注册表的启动项去掉)
在退出 PE 系统前,清理一下临时文件,毕竟刚才”无效指令”提示中有提到临时文件夹中的文件。进入 c:\documents and settings\你的用户名\local settings\temp,全删。如果你有心,可以把其中几个 exe 文件删除后,再做几个同名文件夹放这防止他们再生,正是少了这步,我后面才发生了反复。至于是哪几个 exe 文件,一个你可以在前面启动弹出”无效指令”时记下文件名,然后进来找相同和相近的文件,就是它们了,或者看文件时间。做同名文件夹这一步手工嫌麻烦的话,可以用 xdelbox 或 powerrmv 来做,这两个删除工具都能在删除的同时生成同名的文件夹(工具常备在硬盘上很重要,即使硬盘系统进不去,用 PE 系统一样能启用硬盘上的常用工具,只要没被劫持)。
退出 PE 系统重启,还是没桌面,因为 explorer.exe 没有修复,其实在 PE 系统中就可以把 PE 系统的 explorer.exe 或其它途径找来的正常的 explorer.exe 拷到 windows 和 dllcache 中去了,如果这样做基本可以在桌面系统下进行下面的步骤。由于某些原因我没做上面这步,但任务管理器(taskmgr.exe 上面已经删除劫持了)可以用了,点任务管理器的菜单中的”文件”-“新任务”,找到原来硬盘上的 windows 清理助手,运行扫描删除木马病毒。当时运行后出现网络错误、无法升级,马上又运行 SREng 重置了 winsock(其实助手也有修复 LSP 的功能,我忘了),重启后可以升级。
清理完,再用 SREng 检查下,修复 SREng 提示的 appinit_dlls 项(默认为空值,除非你装了卡助手最新版)删除启动项中的可疑分子,大多已经被清理助手搞掉了,剩下是残余项,还有前面剩下的 IFEO 劫持项,一起删除。再检查系统文件夹下的文件,还是查当天生成的文件并查看文件属性,不正常的全删(不放心就备份后再删,不过大部分已经被扫掉了)。复制正常的 explorer.exe 回去,重启,桌面回来。
又用该机上的卡卡和 360(原来这两个都有装)检查下,卡卡仍是个文件名检查者,报了几个与病毒文件同名的文件夹,不管了。360 新版用安天的木马引擎,速度比原来慢了些,扫了下没发现,继续用它们清理垃圾文件,主要工作已经做完,这些已经是无足轻重的扫尾了。
以上没有刻意去说具体的病毒文件名,也没详细说明怎么用 SREng 中查找病毒文件,主要是一个方法和思路的说明。
暂无评论内容