上周末遇到一个将主页锁定的广告木马, 周一又见到一个类似的案例, 同样是弹广告, 杀毒软件失效、任务管理器打不开、不能访问杀毒厂商的网站、安全模式蓝屏、系统还原被禁用。
遇到这种情况时, 相当多的用户会寻求专杀工具来解决, 以前类似现象可以用AV终结者专杀工具解决, 但遗憾的是, 病毒制造和传播手段也在不断进化, 黑色产业链的从业者肯定不会停滞不前, 他们总能找到对付杀毒软件和专杀工具的办法。
系统被这样的病毒入侵是灾难性的, 我敢说:这样的病毒入侵如果没有专业人员指导, 99%的用户会选择重新安装。
说说我的鸡尾酒疗法
我通常会准备这几个工具:
毒霸急救箱——一个傻瓜化的通用的木马删除工具, 很多木马我们期待用它一次扫描重启就完成木马清除和系统的修复。
清理专家的独立小模块, 需要的可以到爱毒霸社区下载。
重要的组件有:
进程管理器——内置安全认证的进程模块分析器。
文件粉碎器——强制删除顽固程序模块的好工具。
系统垃圾清理工具——很多下载器会藏身于系统临时文件夹和IE缓存文件夹, 手动删除不如这个来的快捷。
sreng——用来分析日志。
冰忍——用来分析和杀死进程。
XDELBOX——相当好用的重启删除工具, 可以直接导入需要删除的文件列表, 一次重启全部删除。
处置思路
以下工具可顺序执行, 也可不分先后分别执行。
1.首先尝试急救箱, 这是个新工具, 病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的, 新版本也具备一定的反rootkit能力。
对于不是太复杂的木马入侵, 急救箱一次重启就搞定的比例大约为78%。
今天的这个实例急救箱失败了, 表现为扫描总也无法完成, 扫描中该程序会崩溃掉。
2.急救箱程序崩溃可能是被正在运行的病毒木马干扰, 解决这个问题, 需要进程管理器
本实例中, 直接运行冰刃失败, 显然是被映像劫持。 随机改名后运行可以启动, 但迅速被关闭。 类似安全工具不能直接执行的, 改名是最简单的办法。
随便将清理专家的进程管理器改名后运行, 发现有system.exe在运行, 还有若干个DLL模块被判定为病毒。 将这些模块全部选中后结束进程。
3.将sreng随机改名后执行, 将分析日志导出为log文件。
在这个日志中发现较多异常
在很多进程中发现病毒模块
HOSTS 文件中有个仿冒QQ主页的虚假网站。
经检查这个98.126.33.210来自欧洲, 估计是黑客抓的一台肉鸡。
4.利用多个工具强行删除上面那一长串DLL和危险EXE。
我先用了文件粉碎器, 浏览了windows\system32目录, 把和这些DLL是同一天生成的若干个奇怪的DLL文件和EXE文件全部粉碎(这需要经验判定, 没有把握的文件可以不必删除)。 把分析日志发现的可疑文件列表导入xdelbox, 一次重启删除。
为什么要将两个工具结合使用?我的依据是, 日志分析可以发现恶意软件的加载点, 但对于下载器来说, 也并非所有下载后的产物都会在系统启动时加载, 检查windows\system32目录下的异常文件, 再人为删除还是有一定的价值。
5.重启电脑, 发现开机速度快了不少, 同时有若干DLL文件加载失败的提示框弹出。
再次使用急救箱, 已经不再崩溃, 顺利完成了扫描, 发现130多个可疑加载项。 此时, 我没有立即选择重启。
6.尝试运行清理专家2.6.5, 人工删除木马是根据经验判断, 总会有所遗漏, 并且, 我们不大可以记住许多恶意软件对注册表和系统配置文件的修改, 这里的扫尾工作还是交给清理专家的恶意软件清除模块来解决。
这次发现了10多个恶意软件, 全部清除之后, 重复扫描已经不再发现残留。
接下来再次重启电脑, 分别使用清理专家的进程分析和急救箱, 均未发现新的不安全的加载项, 初步判定清除完毕, 剩下的工作就是把这次发现的未知文件传给珠海分析了。
以上步骤其实并不复杂, 核心要点是进程分析以发现可疑进程, 结束危险进程后, 一般用户推荐使用急救箱解决, 毕竟急救箱更简单, 效果还是不错的。
建议普通用户掌握日志导出功能, 在你不能解决时, 可以在论坛提交日志, 请有经验的网友帮你解决。
