瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

123456   1  /  6  页   跳转

利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

利用 Xdelbox, Process Explorer等联合绞杀“磁碟机”新变种

最近很流行的病毒之一,病毒作者制作病毒的目的似乎并不在于获得金钱,这点不同于熊猫烧香,他仿佛是在不断的和反病毒工作者较量。

具体分析不说了,下面是新变种的暂时查杀方法:

此方法暂仅限于NTFS文件系统,更好的方法正在研究之中...

需要使用的工具
Process Explorer:http://www.onlinedown.net/soft/31805.htm
Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

1.打开我的电脑 工具-文件夹选项-查看选项卡
去掉 使用简单文件共享(推荐)的钩

附件附件:

下载次数:891
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:32:47
描述:
预览信息:EXIF信息



最后编辑2008-03-06 23:46:42
分享到:
gototop
 

然后点击上面菜单栏下方的 文件夹按钮(搜索右边的按钮)

附件附件:

下载次数:871
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:33:14
描述:
预览信息:EXIF信息



gototop
 

在左边的资源管理器中单击打开系统盘(本例中均假设系统在C盘)
打开C:\Documents and Settings\All Users\「开始」菜单\程序目录
在“启动”目录上 单击右键-属性-安全选项卡
找到Everyone这个组 下方的权限均选择拒绝 应用-确定

附件附件:

下载次数:882
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:33:30
描述:
预览信息:EXIF信息



gototop
 

2.打开Process Explorer

查看-选择“显示下级窗格”

附件附件:

下载次数:863
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:33:57
描述:
预览信息:EXIF信息



gototop
 

此时找到病毒进程lsass.exe单击选中他 然后查看下方窗口找到C:\boot.ini这一项 右键单击 点击关闭句柄

附件附件:

下载次数:894
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:34:16
描述:
预览信息:EXIF信息



gototop
 

3.打开Xdelbox1.6
复制如下文字 (前提是你的系统在C盘,2000系统需把Windows 改为WINNT)

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
C:\WINDOWS\system32\AntiTool.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log

在Xdelbox下面的大框中 单击右键 点击 “剪贴板导入不检查路径”

附件附件:

下载次数:866
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:34:50
描述:
预览信息:EXIF信息



gototop
 

之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机

附件附件:

下载次数:879
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-17 0:35:23
描述:
预览信息:EXIF信息



gototop
 

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管,它会自动选择进入第二个系统
类似Dos的滚动界面完成后 就可以了
之后他会自动重启进入正常模式

4.重启之后的工作
打开Icesword 删除各个分区下面的pagefile.pif和autorun.inf(一定不要遗漏)

使用杀毒软件全盘杀毒

使用iframekill修复被感染的htm等网页文件
gototop
 

宝箱,嘎嘎~

To:阳光清新<br><br>你这个方法和我昨天的杀法一样,但是我是直接去结束他的进程,结果没效果,进而我直接跳过了这一步,直接去关闭权限去了,重起,结果根本没用。<br><br>现在看来是是没有关闭boot.ini的句柄的原因啊。(这步在我杀完后发现是相当重要的)<br><br>Process Explorer和Xdelbox是中这个毒的时候能打开的为数不多的软件。<br><br>在你的方法出来前我竟然找到一个专杀的工具,可笑的很,竟然还能用,全自动的。<br><br>用完后发现那个工具的原理也是直接删除了boot.ini。<br><br>完全清除的过程是晚21点找到专杀工具,竟然没有被变种闭屏,然后运行,开杀<br><br>重起,进DOS杀剩余的,<br><br>感觉不保险,<br><br>再进运行专杀,<br><br>重起,进DOS杀剩余的。<br><br>在这期间什么盘都没有点,全部是桌面进行。<br><br>然后进来发现进程里没smss.exe和lsass.exe了,目前成功了一大半。<br><br>然后用rar找到所有盘的autorun和pagefile删除(关键是所有的盘符都不要点,如果现在点了前面做的一切直接失败)<br><br>然后修复注册表等一切修复动作(关键还是不要点任何盘符,现在点了照样会死灰复燃,其实现在病毒感染的东西足够吓死你)<br><br>然后点开始,直接删除挂了的防毒软件,这样不用进盘符就可以完整卸载,然后重新装,升级毒库,<br><br>重起,进安全模式,开杀(竟然感染的exe多达300多个,如果刚才点了任何一个盘符这些exe就会被激活)<br><br>感觉不放心,重起,<br><br>再进安全模式,开杀,(老天,又新出来20多个被感染的exe)<br><br>感觉还是不放心<br><br>再重起,开杀,显示是安全,<br><br>还是感觉应当再来一次,<br><br>重起,进入正常模式,运行专杀,提示安全<br><br>进DOS最后杀一次,结果竟然还有1个幸存的,也许是新被感染的。<br><br>至此,历时,和病毒搏斗的72小时结束。<br><br>备注:现在大家都以为完全安全了吧,故事要结束了吗?<br><br>其实现在病毒还留了最后一手,要是现在进系统运行exe还是要挂掉<br><br>清新阳光版主的方法是到这里就可以结束了,其实忽略的病毒的最后一手(变种真可恶)<br><br>不过到现在如果什么都不点,只在桌面是很安全的,呵呵<br><br>有兴趣的朋友可以研究一下<br><br>未完待续哦~~~~~~
最后编辑酷卡 最后编辑于 2009-02-24 11:05:18
gototop
 

目前2个小时过去了,还是一切正常,

但是还是怎么都恢复不出来"隐藏受保护的操作系统文件(推荐)"的选择框。

还有些担心啊.
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT