关于欣宇大大发的病毒的清除|:: ＩＴ数码 :: - 啄木论坛

离线会飞的企鹅

啄木站务

发帖: 7611

啄木币: 1

鲜花: 594

只看楼主倒序阅读使用道具 0楼发表于: 2008-08-18

病毒附件地址：http://www.zhuomu.cn/bbs/read.php?tid=44530&page=e&#a

清除所用软件：procexp-v11.20；autoruns；进程模块卸载；IceSword 1.20；
360安全卫士版本4.2.0.1010 特征库版本 1.0.1.1998；360顽固木马专杀大全版本：V2.5.0.3

昨天晚上下载了，测试下那个病毒，果然较厉害。
运行后在系统进程里看到了一个陌生进程，而且开始的时候还有几个进程闪了下就消失了。所用软件procexp-v11.20。那个进程也没有什么子进程，其他进程下了没有子进程，以为ok，运行360安全卫士想清除下木马，发现运行不了。然后运行autoruns，发现里面有较多的陌生启动项，如图

运行冰刃发现这些文件一般都是两个一个.dll，一个.nls，创建时间都是8月17日，也就是我昨天运行病毒的时间，如图

手动删除陌生文件，结果删除失败，大部分dll文件都无法删除，怀疑这些dll文件被系统的正常进程使用着。试了下强制删除软件删除，结果不成功。这时候想到了进程模块卸载这个软件，模块搜索，发现这些dll文件都注入了好多个进程里去了。用进程模块卸载软件卸载模块，结果未遂。如图

这时候想到了冰刃 IceSword 1.20，以前用冰刃只想用进程查看功能，发现功能不是很强大，一度把它搁置起来了。这次运行冰刃发现冰刃里还有注册表、文件选项，运行文件选项找到system32中的文件，试了下一般删除，结果未遂，又用强制删除，删除成功，高兴……，这时候运行进程模块卸载软件，发现那些dll文件不能注入冰刃中——冰刃强大啊！

autoruns+冰刃成功将顽固dll文件删除干净，重启机器，发现360安全卫士可以运行了。扫描发现13个恶意插件，清除之，运行360安全卫士的木马查杀，又查出几个木马…… 最好运行运行360顽固木马专杀大全，又发现几个木马，杀之……世界终于清净了

共6条评分

stedux	鲜花 +1	很好很强大	2008-08-18
月岛	鲜花 +1	好厉害。。。看不懂	2008-08-18
龙007	鲜花 +2	强！强！强！	2008-08-18
linana	鲜花 +1	原创精品	2008-08-18
小鹏8号	鲜花 +2	原创精品	2008-08-18
欣宇	鲜花 +2		2008-08-18

评价一下你浏览此帖子的感受

离线会飞的企鹅

发帖: 7611

啄木币: 1

鲜花: 594

只看该作者 1楼发表于: 2008-08-18

由于是未知的病毒，所以清楚起来比较复杂一点……
但一般情况下我们中病毒了都是未知的，所以没有什么好的解决办法，只能试呗。

希望能给大家清除病毒木马的提供一点思路……多种软件应用删除病毒

查杀软件.rar

[ 此贴被会飞的企鹅在2008-08-24 09:48重新编辑 ]

离线手术刀

啄木版主

发帖: 2232

啄木币: 17737

鲜花: 440

只看该作者 2楼发表于: 2008-08-18

师兄以后的发明一个杀毒软件——企鹅飞杀。呵呵

离线会飞的企鹅

啄木站务

发帖: 7611

啄木币: 1

鲜花: 594

只看该作者 3楼发表于: 2008-08-19

引用第2楼龙007于2008-08-18 23:52发表的 : 师兄以后的发明一个杀毒软件——企鹅飞杀。呵呵

这个……估计不是很行，咱毕竟不是计算机专业的。

杀毒也就是玩玩，至于病毒的感染原理还是不大懂滴。

离线龙腾

荣誉会员

发帖: 279

啄木币: 363

鲜花: 70

只看该作者 4楼发表于: 2008-08-19

佩服一下先有机会研究下

离线欣宇

啄木元老

发帖: 5723

啄木币: 228914

鲜花: 1684

只看该作者 5楼发表于: 2008-08-19

冰刃绝对是个好东西，但也并非百毒不侵。

还有一招最狠的：窃取系统的最高操作权权限！
即将Administrator提升到SYSTEM权限！绝对的无敌权限！没有任何东西可以阻拦你的任何操作。

这里有图解：(注意计划任务服务要开启)
http://hi.baidu.com/dieinsky/blog/item/eb58acfad9a8c01aa8d311f1.html

或者http://www.xici.net/b13072/d65275947.htm

有兴趣可以试试，很爽！