寒风凛冽~拖着鼻涕,才从朋友家回来,就是因为他的电脑被病毒?木马?流氓?恶意?强占了...
(顺便嘲笑下"恶意软件"的取名者~现在被XX搞的不得安生,结果我怎么就分不清到底是被谁搞了?其实本质没什么区别~非要自各取个名字显示自己的权威!还要找那么个烂的不能再烂的理由...)
废话不说了~
表面症状是不停的弹出黄色网站www.265dm.***和另外一个没记住名字的网站.
用HIJACKTHIS,SRENG和卡卡助手,反复查找~认为问题出在系统进程里的2对LSASS.EXE和SMSS.EXE,问题文件是在c:\windows\system32\com\里的LSASS.EXE和SMSS.EXE2个文件身上.
同时在各分区根目录下都存在AUTORUN.INF和pagefile.pif.特别注意的是pagefile.pif是个用快捷方式的图标和后缀名掩饰的一个40K的文件.
注册表方面主要是开机调用SMSS.EXE.
文件夹设置方面他利用后台进程,不停的勾选文件夹选项里的"隐藏受保护的系统文件"
一切似乎很明朗!
可刚进入安全模式,就感觉不对了!
因为,他还在弹网页,以及进程中依然成双成对出现的进程!用任务管理器中止不了,换卡卡助手,可2个我只能关掉1个~后关的那个会调出前面关掉的进程,而我一回只能关一个...
终极绝招~恢复克隆!
但...这招必杀只是证明了我的自大....
恢复克隆后,第一次启动前期还算正常,见桌面后就开始出现停顿和系统假死...
请注意~这个时候我还没有开始查看其他分区,更别说去不小心运行病毒.
其后,刚才很明朗的形势图,又全部一样一样的展示给我看...
可以保证镜像是干净的~那是很早前亲手给他做的备份.
这个超出了我的知识范畴,我所接受的克隆知识,告诉我:
它是将硬盘的一个分区或整个硬盘作为一个对象来操作,可以完整复制对象(包括对象的硬盘分区信息、操作系统的引导区信息等等),并打包压缩成为一个映像文件(IMAGE),在需要的时候,又可以把该映像文件恢复到对应的分区或对应的硬盘中。
多么可靠的办法啊!可今天遇到的事,让我开始动摇了.
我分析的可能性有两个:
1.GHOST不是所宣称的那么完整的恢复了硬盘数据.可能只是以某种顺序拷贝回来远文件,所以有些病毒文件故意选定特殊的位置可以不被覆盖或者不被全部覆盖,并保留随机启动的权限?只是这实在与原来所了解的太不一样了,从克隆的数据写入速度之快和文件在硬盘存放的物理位置不变来看,这点怀疑有不合理的地方.
2.GHOST在恢复或者是存放的过程中有严重的漏洞.重点怀疑恢复的过程中,尤其是程序本身文件被感染,所以把病毒加进了恢复出来的系统?又或者是存放目录因为大多都是在最后一个分区上
被病毒文件找到后直接把自己加入文件包中?这点怀疑比较没头绪,只是,就算是压缩包想添加进文件,还需要解码工具,而且实际是重新进行一次压缩,并不是如想象的那种,直接加进去.镜像不会连压缩包都不如吧,他记录的信息可要比压缩包的信息多啊.所以..这点怀疑也很没道理...
那么最后,难到是病毒文件存放在其他分区上~并且,不用被动的获得运行机会,可以主动运行自己并繁衍,复制,传播,发作...?
混乱ing.....
在网上查到一篇文章,他的类型和我碰的有较多相似之处,可他的解决办法..太恐怖了,我...
大家可以去看看,http://security.chinaitlab.com/virus/525850_3.html 参考下,帮忙想想办法啊~~
有什么样的途径会让克隆恢复后的系统还带毒啊?
