瑞星卡卡安全论坛

最近很流行的病毒之一，病毒作者制作病毒的目的似乎并不在于获得金钱，这点不同于熊猫烧香，他仿佛是在不断的和反病毒工作者较量。

具体分析不说了，下面是新变种的暂时查杀方法：

此方法暂仅限于NTFS文件系统，更好的方法正在研究之中...

需要使用的工具
Process Explorer：http://www.onlinedown.net/soft/31805.htm
Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下
Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

1.打开我的电脑 工具-文件夹选项－查看选项卡
去掉 使用简单文件共享(推荐)的钩

附件: 554345200811702116.jpg

然后点击上面菜单栏下方的 文件夹按钮（搜索右边的按钮）

附件: 554345200811702143.jpg

在左边的资源管理器中单击打开系统盘（本例中均假设系统在C盘）
打开C:\Documents and Settings\All Users\「开始」菜单\程序目录
在“启动”目录上 单击右键－属性－安全选项卡
找到Everyone这个组 下方的权限均选择拒绝 应用－确定

附件: 554345200811702159.jpg

2.打开Process Explorer

查看－选择“显示下级窗格”


附件: 554345200811702227.jpg

此时找到病毒进程lsass.exe单击选中他 然后查看下方窗口找到C:\boot.ini这一项 右键单击 点击关闭句柄

附件: 554345200811702245.jpg

3.打开Xdelbox1.6
复制如下文字 （前提是你的系统在C盘,2000系统需把Windows 改为WINNT）

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
C:\WINDOWS\system32\AntiTool.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log

在Xdelbox下面的大框中 单击右键 点击 “剪贴板导入不检查路径”


附件: 554345200811702319.jpg

之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机

附件: 554345200811702344.jpg

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统
类似Dos的滚动界面完成后 就可以了
之后他会自动重启进入正常模式

4.重启之后的工作
打开Icesword 删除各个分区下面的pagefile.pif和autorun.inf（一定不要遗漏）

使用杀毒软件全盘杀毒

使用iframekill修复被感染的htm等网页文件

To:阳光清新<br><br>你这个方法和我昨天的杀法一样，但是我是直接去结束他的进程，结果没效果，进而我直接跳过了这一步，直接去关闭权限去了，重起，结果根本没用。<br><br>现在看来是是没有关闭boot.ini的句柄的原因啊。（这步在我杀完后发现是相当重要的）<br><br>Process Explorer和Xdelbox是中这个毒的时候能打开的为数不多的软件。<br><br>在你的方法出来前我竟然找到一个专杀的工具，可笑的很，竟然还能用，全自动的。<br><br>用完后发现那个工具的原理也是直接删除了boot.ini。<br><br>完全清除的过程是晚21点找到专杀工具，竟然没有被变种闭屏，然后运行，开杀<br><br>重起，进DOS杀剩余的,<br><br>感觉不保险，<br><br>再进运行专杀，<br><br>重起，进DOS杀剩余的。<br><br>在这期间什么盘都没有点，全部是桌面进行。<br><br>然后进来发现进程里没smss.exe和lsass.exe了，目前成功了一大半。<br><br>然后用rar找到所有盘的autorun和pagefile删除（关键是所有的盘符都不要点，如果现在点了前面做的一切直接失败）<br><br>然后修复注册表等一切修复动作（关键还是不要点任何盘符，现在点了照样会死灰复燃，其实现在病毒感染的东西足够吓死你）<br><br>然后点开始，直接删除挂了的防毒软件，这样不用进盘符就可以完整卸载，然后重新装，升级毒库，<br><br>重起，进安全模式，开杀（竟然感染的exe多达300多个，如果刚才点了任何一个盘符这些exe就会被激活）<br><br>感觉不放心，重起，<br><br>再进安全模式，开杀，（老天，又新出来20多个被感染的exe）<br><br>感觉还是不放心<br><br>再重起，开杀，显示是安全，<br><br>还是感觉应当再来一次，<br><br>重起，进入正常模式，运行专杀，提示安全<br><br>进DOS最后杀一次，结果竟然还有1个幸存的，也许是新被感染的。<br><br>至此，历时，和病毒搏斗的72小时结束。<br><br>备注：现在大家都以为完全安全了吧，故事要结束了吗？<br><br>其实现在病毒还留了最后一手，要是现在进系统运行exe还是要挂掉<br><br>清新阳光版主的方法是到这里就可以结束了，其实忽略的病毒的最后一手（变种真可恶）<br><br>不过到现在如果什么都不点，只在桌面是很安全的，呵呵<br><br>有兴趣的朋友可以研究一下<br><br>未完待续哦~~~~~~

目前2个小时过去了，还是一切正常，

但是还是怎么都恢复不出来"隐藏受保护的操作系统文件(推荐)"的选择框。

还有些担心啊.

楼主辛苦了,学习..

赞叹一下~~~~

如果不是ntfs文件系统的怎么办

学习一下

试了上传的病毒

瑞星并没有挂 

病毒启动后就自己结束掉自己了  怪事！

预防为主好啊  中了这家伙就难搞了

又出新杀法了，学习！

引用:

【newcenturymoon的贴子】最近很流行的病毒之一，病毒作者制作病毒的目的似乎并不在于获得金钱，这点不同于熊猫烧香，他仿佛是在不断的和反病毒工作者较量。 具体分析不说了，下面是新变种的暂时查杀方法： 此方法暂仅限于NTFS文件系统，更好的方法正在研究之中... 需要使用的工具 Process Explorer：http://www.onlinedown.net/soft/31805.htm Xdelbox：http://www.dodudou.com/down/里面的原创软件文件夹下 Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip 1.打开我的电脑 工具-文件夹选项－查看选项卡 去掉 使用简单文件共享(推荐)的钩 ………………

再给它暴暴尸

EXE尸体

附件: 1558472008117204850.jpg

DLL尸体

附件: 1558472008117204922.jpg

SYS尸体

附件: 1558472008117205002.jpg

其它的，如dnsq.dll、alg.exe、antitools等根本就没释放成。

猫猫哦

所以说对于电脑用户来说重要的还是“防”啊。

防不住的，以后出来的病毒都会这样难处理的了。

而“防”在现在来说，还是可以轻松防住的。

只是要学学“防”好象普通用户很不容易了。

占楼学习

学习下~~~~~~

Process Explorer和Xdelbox哪里能下载？

我在剑盟给你看的那帖子，就已经告诉你关闭文件句柄的方法了，里面说的XX就是指的Process Explorer，怎么你现在才想到？

其实，不要老只想着“绞杀”，应该好好看看它到底增加了什么。打开boot.ini这个是老变种就有的特征。

最近那个驱动NetApi00.sys呢？没人看？那个驱动是修改SSDT的。
病毒通过读取硬盘中的ntoskrnl.exe，得到原始的SSDT表函数地址，然后通过DeviceIoControl将其传递给驱动程序，并由驱动程序来还原SSDT表，上演了R3与R0配合还原SSDT表的“好戏”。而且它设计的是一口气还原整个SSDT表。
其中它怎么搜索到ntoskrnl.exe中的SSDT表原始地址的，这一部分比较有价值。
这部分已经不像是一个rootkit，反而像是一个anti-rootkit了。这说明两者本身就没有明显的界限，问题只在于你的目的（还原SSDT为的是把杀软废掉）。
SSDT表被还原了，瑞星挂掉也就正常了……
但是这部分设置得不太合理，在做了N多注册表操作之后才“想起”要去还原SSDT，实际运行中很可能还没到这一步，就已经被安全软件拦截到了。

这部分内容我刚刚看完，等睡醒了整理一下发出来。

期待斑竹的大贴！拜读！！

引用:

【轩辕小聪的贴子】我在剑盟给你看的那帖子，就已经告诉你关闭文件句柄的方法了，里面说的XX就是指的Process Explorer，怎么你现在才想到？ 其实，不要老只想着“绞杀”，应该好好看看它到底增加了什么。打开boot.ini这个是老变种就有的特征。 最近那个驱动NetApi00.sys呢？没人看？那个驱动是修改SSDT的。 病毒通过读取硬盘中的ntoskrnl.exe，得到原始的SSDT表函数地址，然后通过DeviceIoControl将其传递给驱动程序，并由驱动程序来还原SSDT表，上演了R3与R0配合还原SSDT表的“好戏”。而且它设计的是一口气还原整个SSDT表。 其中它怎么搜索到ntoskrnl.exe中的SSDT表原始地址的，这一部分比较有价值。 这部分已经不像是一个rootkit，反而像是一个anti-rootkit了。这说明两者本身就没有明显的界限，问题只在于你的目的（还原SSDT为的是把杀软废掉）。 SSDT表被还原了，瑞星挂掉也就正常了…… 但是这部分设置得不太合理，在做了N多注册表操作之后才“想起”要去还原SSDT，实际运行中很可能还没到这一步，就已经被安全软件拦截到了。 这部分内容我刚刚看完，等睡醒了整理一下发出来。 ………………

NetApi00.sys这个我知道 恢复了SSDT 然后根据一个关键词的表 结束某些杀毒软件进程
但对于驱动我不太了解 所以也不敢给出关于这方面的分析和查杀 还得等着你的分析咯～～

谢谢阳光

学习师傅的贴！！哎，我要发奋了！！

引用:

【newcenturymoon的贴子】 NetApi00.sys这个我知道 恢复了SSDT 然后根据一个关键词的表 结束某些杀毒软件进程 但对于驱动我不太了解 所以也不敢给出关于这方面的分析和查杀 还得等着你的分析咯～～ ………………

结束杀毒软件进程跟驱动无关，驱动只还原SSDT（提供废掉杀毒软件的条件），结束杀毒软件进程还是在R3部分做的。