我与*~.exe文件的实战
中毒机器到我手上已经是第二天。网上查了相关内容。该病毒为比较新的后门程序。名为BT病毒下载器。其自身不停从网上下载病毒。并且开放后门。所有下载的病毒都立即运行。很多病毒都为最近比较知名的橙色8月和威金之类。
现在我来讲讲我试如何对付*~.exe的。
机器到手后 发觉中毒比较潜。询问过后知道机器中毒后没有关过。一直开着。幸好没中威金。真是万幸。原来网线给拔了。这样就不能上网下载其他病毒了。。使用任务管理器 查看当前进程后。发觉进程名 明显错误 wuauclt.exe 变名为 wuauc~.exe 并且有10个进程
Taskmgr.exe 变为 taskm~.exe 其他则没变。
先使用 IceSword 终止 进程创建 然后 停止一切非法进程 。包括wuau~.exe 。在打开 开始-运行- 浏览。找到刚才的那些病毒文件 删除(因为进程被终止 所以无法打开任何程序,包括我的电脑)。但发觉。找不到wuau~.exe和taskm~.exe。先删除其他的垃圾在说。删除后。开始允许进程创建。发觉还是在加载wuauc~.exe 并且 任务管理器还是taskm~.exe。但是其他恶意程序都不运行了。就剩这一个。然后。我运行记事本。发觉NOTEPAD.EXE也变成了NOTEP~.EXE 进入c:\windows 和 c:\windows\system32 找到 NOTEPAD.EXE 发觉文件大小不对,在使用IceSword 查看taskm~.exe的进程位置。发觉进程位置在 C:\Documents and Settings\Administrator 而且进入后 看不见该程序。
在排除其他恶意程序后。我重新启动机器,进入 安全模式,在安全模式下 发觉 *~.exe的问题还是存在。但是发觉系统的主进程 LSASS.EXE SMSS.EXE SVCHOST.EXE等系统主要进程都没变化。于是从其他机器上复制了一个 Taskmgr.exe 然后 关闭任务管理器 。全盘搜索 Taskmgr.exe 然后全部替换掉。在打开任务管理器,发觉 Taskm~.exe没有了。变正常了。于是联想到该病毒是感染所有运行过的EXE文件。就通过网络。把其他正常机器上的 c:\windows c:\windows\system32 C:\WINDOWS\system32\dllcache 所有EXE全部复制(除了系统使用的进程 如 smss.exe svchost.exe lsass.exe等)替换病毒机的文件。 此后运行文件。一切正常。病毒体被替换为正常文件。
在使用 SREng2 修复启动项 服务 驱动加载 修复IE 在用360安全卫士和恶意软件清理助手查杀恶意程序。最后重新启动 。病毒清除完毕。。
