今天终于可以上来发布我的这篇文章,心里舒服多了,希望对各位有所帮助。
本文主要目的就是杀毒软件能做的事情,我们也能做。别看杀毒软件公司发布的各种监视病毒情况,觉得他们很牛,其实我们也可以自己来监视病毒的发作过程。本文是为那些想自己动手监视病毒,手动清除病毒的自食其力的网友而写。
这个病毒主要的动作有如下:
1、病毒文件释放出正常的文件;
2、C:\Documents and Settings\Administrator\Local Settings\Temp临时文件目录只生成一个文件,类似68$$.bat之类的,名字会动态变化;
3、打开68$$.bat这个文件,运行代码,实现删除病毒感染文件(重复拼命的删除),重新命名释放出的文件为病毒感染文件名,运行这个改名后的文件;
4、在C:\WINDOWS\system32\drivers\释放出一个sppoolsv.exe病毒主文件;
5、在某一时段后监视关闭IceSword程序。那个时候你直接双击IceSword1.2利器,是没有用的,不过你可以从cmd运行那里切换到IceSword的目录下,输入IceSword /c 加一个/c参数就可以正常运行IceSword利器来终止这个病毒;
6、用命令行检查系统中是否存在默认共享(Z$,H$,F$,E$,D$,C$,admin$),默认共享存在的话就运行net share命令关闭这些默认共享(cmd.exe /c net share Z$ /del /y),这个操作是从最后那个共享盘开始删除,还是随机的,并且是重复性动作:
7、同时感染exe,com,scr等文件;
8、删除所有以gho为后缀的备份文件,115ghost那个目录我本备份两个文件,一个是以.gho为后缀的,已经被删除掉,以.o结尾的就没有被删除,所以建议各位GHOST备份的时候最好把后缀名修改其他的字符,随便什么字符都行;
9、在扩展名为htm,html, asp,php,jsp,aspx的文件的末尾添加一网址;
10、这个金猪病毒好象对QQ安装程序很照顾,它不会感染QQ安装程序(比如IPQQ06454a珊瑚虫版本,还有qq2006standardQQ官方版本),并且它不是按照文件名来识别的,但是又感染QQ已安装后的所有exe,html等文件。我拿这个熊猫烧香专杀工具做实验,发现病毒也感染不了这个专杀工具,看来病毒是按照某些特征码来识别文件的;
...............(省略)
清理方法:
一:
假如你用网络里的专杀工具没有用时,并且你又急得要用到那个程序的话,我测试过程发现一个取巧但有比较有效的方法可以帮你清除被感染的文件:
到C:\WINDOWS\system32\drivers目录下查看下病毒文件名,也许不同的样本名都是不一样的,比如有sppoolsv.exe,spoolsv.exe之类的,创建一个跟病毒文件名同样的目录,比如sppoolsv.exe目录即可,或者把C系统盘转换为NTFS文件格式,再到C:\WINDOWS\system32\drivers目录下查看下病毒文件名,也许不同的样本名都是不一样的,比如有sppoolsv.exe,spoolsv.exe之类的,你就直接把对它的访问权限设置成任何人都没有权限访问,然后运行被感染的病毒文件,你会在当前目录下看到一个正常的程序文件,而被感染的病毒文件不见了。具体原因请看我文中的分析就可以知道了。还有更好的手动清除方法,也请看文章吧。
本想在社区发布的,但是图片太多了,一个一个发太麻烦了,就简单做成一个网页,具体情况请看http://www.gdsx.net/good/whboy.htm。
还有就是一款据说是熊猫烧香的第一版作者编写的熊猫烧香专杀工具,网络又有人说是假的,还携带着其他没知的病毒。我也跟踪下这个专杀工具,各位看了文章觉得那里有什么问题,欢迎跟我讨论。
在这里打一个小广告,我的博客地址是:breach.blogcn.com,虽然这个博客访问速度慢的很,又有漏洞,但还是欢迎各位访问--IceSword的作者pjf也是这个博客网的用户。
