这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。
现象
一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。
从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。
故障现象
检查故障机,重启时,很自然的想到启动到带命令行的安全模式。运行regedit,结果失败。msconfig一样失败。改regedit.exe为regedit.com,同样失败,没有继续尝试改别的名字。重启电脑进普通模式,想看一下具体中毒的现象。
登录到桌面后,发现一个类似记事本的程序不停打开一个小对话框,速度很快,根本来不及关闭,任务管理器也调不出来。立即拿出我的杀毒U盘,其中常备ProcessExplorer、冰刃、Sreng。发现杀毒U盘没有正常的启动成功。双击冰刃/Sreng都宣告失败。
解决步骤
分别对将icesword和Sreng主程序改名后运行,此时,那个象记事本的病毒程序已经打开近百个对话框,系统变得很慢。在WINXP的任务栏选中这一组窗口,关闭掉,先抢占一些系统资源再说。
然后,双击U盘上的ProcessExplorer,一眼看到有记事本图标的三个进程,尝试结束其中一个,发现结束后,程序会立即重新启动。看来,直接KILL进程是不行的。结束不行,就用下冻结进程,分别选中这三个进程,单击右键,在进程属性中选择Suspend(暂停)进程,病毒就不再弹出新的对话框,杀它就容易了。(参考下图的示例:)
切换到冰刃,简单地通过进程管理,根据病毒进程的程序位置和文件名,轻松使用冰刃内置的文件管理器浏览到这几个文件,复制一个备份到桌面,再单击右键,选择强制删除。
(下图演示冰刃的强制删除):
接下来,再切换到冰刃窗口中的注册表编辑器,浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,逐个查看子注册表键中对应的程序名,找到另一个病毒程序。(这里要说明一下,有网友认为只需要保留Your Image File Name Here without a path子键,其它都可以删除。觉得这样做还是有风险的,谨慎的做法还是一个子键一个子键的检查,如果发现键值为病毒程序的路径时,再删除这个子键)。