瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用PE应付最近流行的感染系统文件病毒

123456   1  /  6  页   跳转

利用PE应付最近流行的感染系统文件病毒

点击关闭鉴定图章

利用PE应付最近流行的感染系统文件病毒

针对最近流行的病毒,感染了系统文件造成文件版本签名等在日志里没能发现,在借助日志分析清理时,容易产生错误判断,而删除文件后又会使得重起以后无法进入系统的,而借助系统安装盘等实现修复对于求助者无法进入系统后单凭QQ等联系教与也是有一定难度,现在只能在实行操作之前,推荐安装PE工具箱,这样即便在失误操作之后,也方便修复。

      另外,针对现在的病毒对于常见的删除文件的工具,如XDelBox等软件针对性的破坏,如1.6版之前的针对XD驱动文件boot.sys的和现在更新1.7版后的窒息拟稿重起时提示的 safe.sys驱动不存在路径从而无法实现XD正常删除文件功能,这里也是推荐,安装PE后进入PE删除文件。

这里就对“TonPE_V1.4.exe”  这款是网友对雨林木风PE工具箱的修改版,进行对PE的介绍:

1.首先,就是要在上传日志得到网友分析后,下载PE安装程序进行安装,
地址:http://search-soft.ylmf.com/download.php?sid=882&did=1034 (这个是雨林1.1)
http://d5.97sky.cn/TonPE_V1.4.exe(这个是下面要介绍的“通用1.4PE”)
大小:38,348,897Bytes
MD5值:6B074855DF619BC1579B5F51F578FEC8


默认的等待时间是4秒,建议对没有用过的朋友可以设置长一些,这样就不要担心重起时不知道在什么时候选择。(我上面是修改成10秒)
图2
正在安装,因为虚拟机上只有一个分区所以我安装在C盘,建议大家装到非系统分区上。

装完以后要检查c:\boot.ini是否正常修改。
图3
上面的c:\WXPE\PELOAD=  就是PE安装后修改系统启动列表了

在系统属性-高级-性能和故障恢复设置中 一样可以修改  如果在这次处理结束后想不要系统列表等待 可以在这里设置

图4

之后就重起进入PE

图5
重起的时候到这里,就是选择进入的系统了  这里我们要选进入PE 所以只需要点“↑”“↓”键就可以选择 然后按“Enter”

图6

正在启动

图7
这个就是这个PE的桌面了。。还经过了美化 呵呵。。

然后就可以根据保存好的处理方法,跟正常系统模式一样的搜索要删除的文件,然后删除
图8

这里需要注意的是,搜索的时候,分区一定要选清楚,如果你是在插入移动硬盘时,一定要分清楚你的移动硬盘和系统分区的盘符,因为有时移动硬盘会变成C盘等等 所以这里一定要注意  还有个就是搜索文件时 高级选项要勾上  如图

对于大堆的马群,这样一个个找,可能大家都会嫌烦,这里 可以用“费尔木马强力清除助手”达到批量删除,就在PE系统里。

在正常系统中下载并解压好后,直接就可以在PE里运行
图9

用法就跟正常系统一样了,复制所有要删除的文件路径,在“文件夹”列表框里点右键-粘贴,然后选中“清除,并抑制文件再次生成”-点开始就行了
图10

还有就是最近常见的感染正常系统文件:mfc40u.dll、cdfview.dll、lsass.exe、services.exe,具体的http://bbs.ikaka.com/showtopic-8501837.aspx这里大版有介绍并将持续更新。而我们要处理就是用正常的文件替换掉被感染文件。在PE里复制备份文件夹c:\windows\system32\dllcache\ 里要替换的文件后粘贴到相应路径 提示替换选是即可(如果备份文件夹里没有备份文件,可以到论坛上下载对应版本系统的文件解压后进入PE复制粘贴,方法相同,这方法同样适用于机器狗感染explorer.exe和userinit.exe的修复)
图11

图12

删除替换文件以后,就可以重起回到系统继续修复的工作了。当然 这个PE里还带了注册表编辑器,熟练的话可以直接在PE下进行注册表的修复,不过这里还是推荐用工具达到,注册表毕竟麻烦点,搞坏了就难办。
图13

以上是根据我的系统盘在C盘为例,相应系统分区不是在C盘的 在复制和搜索删除文件时要依照具体路径处理,同时还要提醒一句,千万记的如果插入移动硬盘时对应分区一定要分清楚。


PE里还有其他很多功能,在这里就不一一介绍,只介绍一些简单的病毒文件清理和替换的 应付这阵子流行的病毒。


附件里有“费尔强力木马清除助手”可以直接下载

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
本帖被评分 5 次
最后编辑豪斯登堡新郎 最后编辑于 2008-05-05 20:10:29
不认识我没关系,因为我也不认识你。
分享到:
gototop
 

回复: 利用PE应付最近流行的感染系统文件病毒以及瑞星报的win32.downloader.af

图11  12  13    加“费尔木马强力清除助手”









续:
对于今晚论坛上多数求助贴,对于瑞星报的win32.downloader.af。

分析大部分日志发现,
c:\net.exe
c:\windows\system32\1800.exe
c:\windows\system32\winini.exe
……

等等作怪,  估计这个net.exe是前段时间流行的avp.exe的变种,也属于感染型,所以,如果已经感染该病毒的,请上传日志后,不要再去运行任何程序,上网下载SREng扫描日志上传后等待各位网友分析给出解决方案后,同样按照上面的方法下载安装PE和“费尔……助手”,并且推荐下载Dr.Web(就是所谓的大蜘蛛杀软,地址:ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe),以上下载的软件全部直接下载保存到c:\windows\system32\文件夹内,避免下载后被感染。然后一样安装PE重起进入,按照网友给出的处理方案,进行删除文件,并在删除完文件之后,运行下载的大蜘蛛,在快速扫描之后,在进行一次全盘扫描,力求将所有被感染的文件全部清理。

至于没感染上该病毒的朋友,建议,预防很重要。。。

可以利用组策略禁止这些程序的运行。。
方法:开始-运行-gpedit.msc-计算机配置-Windows 配置-安全设置-软件限制策略-右键点“其他规则”-新建路径规则,然后分别新建上面这些规则,然后对于现在也比较常见的在program files文件夹里的“数字.exe”  我想不到程序安装目录里 应该没有必要直接的可执行文件 所以建议也一并禁止。大家还可以把一些常见的木马病毒都用这个方法禁止。

更好的预防方法  还有待其他高手指点 这些只是个人的一些常用的方法而已。。。当应急用吧



建议 花钱买了杀软 还是花点时间去琢磨下  病毒 防远重于杀..

附件附件:

文件名:powerrmv.rar
下载次数:1270
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-5 20:14:36
描述:rar

最后编辑豪斯登堡新郎 最后编辑于 2008-05-05 22:26:42
不认识我没关系,因为我也不认识你。
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒



这下该看见图了吧……
不认识我没关系,因为我也不认识你。
gototop
 

回复: 利用PE应付最近流行的感染系统文件病毒



引用:
原帖由 豪斯登堡新郎 于 2008-5-5 20:16:00 发表


这下该看见图了吧……

辛苦了……
打酱油的……
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒

好贴啊  怎么没人顶啊  支持版主  以后多辛苦辛苦哈 我们这些菜鸟也能多学习学习。
gototop
 

回复: 利用PE应付最近流行的感染系统文件病毒

为了方便大家阅读,把我1楼的回复删除了,我的经验就这么没了啊
打酱油的……
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒

我的情况是文件被感染了.“费尔强力木马清除助手”上面说不能用与清楚被带感染文件型的?怎么办?
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒

很感谢楼主.但是我对电脑什么都不懂,怎么办呀?一点都看不懂,现在电脑能用的东西越来越少.很多程序都打不开,包括桌面上的我的电脑.还有很多程序都用不了,网速也越来越糟糕.不知道该怎么办了,每次杀毒都杀到300多个,但是杀了后还是有..........
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒

用费尔助手删除完病毒释放的主要文件后

被感染的文件 只能依靠杀毒软件清理  这里推荐使用大蜘蛛  下载地址上面给出了
不认识我没关系,因为我也不认识你。
gototop
 

回复:利用PE应付最近流行的感染系统文件病毒

再整理的清爽点才好
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT