昨天，在系统中“养”了两个IFEO劫持类蠕虫，一个“随机7”、“随机8”。

今天，心血来潮，想象让这两个蠕虫比试一下功力————看看哪个更牛些。

关闭所有安全软件。

依次点击蠕虫程序：先运行“随机7”，再运行“随机8”。

然后，改名运行SRENG，SRENG的进程立即被病毒结束；再运行，SRENG进程再次被病毒结束；第三次运行SRENG——OK！

用SRENG扫到的异常项如下：

启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <vbcyhid><C:\Program Files\Common Files\System\terebmi.exe>  [N/A]
    <xywrebh><C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll>  [N/A]
==================================
正在运行的进程
[PID: 1228][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 656][C:\windows\system32\atiptaxx.exe]  [ATI Technologies, Inc., 6.13.10.2531]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 1112][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 1348][C:\Program Files\Internet Download Manager\IDMan.exe]  [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 3616][C:\Program Files\WinRAR\WinRAR.exe]  [N/A, N/A]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 2712][C:\Program Files\Common Files\System\terebmi.exe]  [N/A, N/A]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 2732][C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe]  [N/A, N/A]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 3256][C:\Autoruns\autorun.exe]  [Sysinternals - www.sysinternals.com, 8.43]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
[PID: 3400][C:\Documents and Settings\baohelin\桌面\S.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll]  [N/A, N/A]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=872A00AC.exe
shell\open=打开(&O)
shell\open\Command=872A00AC.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=872A00AC.exe

从进程插入和Autorun.inf的内容来看，“随机8”更牛些。想想刚才的运行顺序（先运行“随机7”，再运行“随机8”）难道是后来者居上？

于是，再次点击“随机7”病毒程序，再扫SRENG日志。看看Autorun.inf的内容：

Autorun.inf
[D:\]
[AutoRun]
open=872A00AC.exe
shell\open=打开(&O)
shell\open\Command=872A00AC.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=872A00AC.exe

还是“随机8”更牛！

接下来是如何收拾残局的问题了。

记得昨天在SSM的规则中已经禁止“随机7”与“随机8”的所有病毒程序。

现在的问题是：因SSM被病毒劫持而不能发挥作用。咋办？

想想.................

有主意了！！

1、改名运行新版IceSwod（不受IFEO劫持类病毒的影响），禁止进程创建；结束系统核心进程以外的所有进程；删除“随机8”的启动项：
<{A00A872A-872A-00AC-2A00-72A0A72A00AC}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\872A00AC.dll>

2、删除涉及瑞星、Tiny、SSM的IFEO劫持项。保留“随机7”的启动项。

3、添加两个IFEO劫持项，将“随机7”的两个病毒程序劫持到SSM（syssafe.exe；图1）。

4、重启系统。

5、重启后，报SSM加载两次（图2）。证明我的IFEO劫持生效了。

到此，无论“随机7”还是“随机8”，病毒就只有死路一条了（图3）。

最后，删除“随机7”的加载项，用工具重建IFEO，导入原先备份的注册表项。搞掂。



图1

图2

图3

哈哈,回头我也试试``

7位数字双进程守护,人数占优哈~~~

BAOHE大叔，发个样本给我哈，谢谢~~~
邮箱：xqbin318@163.com 
密码：1234

呵呵,喜欢搞病毒的蛮多的啊,呵呵,我还是比较喜欢写批处理...那个IEFO劫持修复工具,看样子只是用REG DELTER 命令罢了,没什么希奇哈!~呵呵,但他想到也不容易哈,我主要是没测试过那病毒,光远程截了点图,无法知道劫持的哪些程序,才没做出来.....

但那病毒会监视那CMD运行的程序,根本无法实现处理劫持的,一开就被关闭了....

如图,就是远程截的...

【回复“baohe”的帖子】
猫叔啊，随即的名字。EXE怎么劫持啊？
他名字要变的啊
不懂，HOHO

我的冰刃改了名字，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit里添加了启动项,还是被劫持了
难道版本不行?

回家了,吃饭,嘿嘿,吃完再来看

引用:

【日不懂啊的贴子】【回复“baohe”的帖子】 猫叔啊，随即的名字。EXE怎么劫持啊？ 他名字要变的啊 不懂，HOHO ………………

老大,在进程里啊````

【回复“孤独更可靠”的帖子】
进程里没的~~~我没找到,哈哈哈哈,够笨吧?
在进程里真的没看到那东西