查看文章 |
这几天一直想要把这个经验写一下,总没抽出时间,晚上加加班。样本已经被杀毒U盘的监控干掉,本文回忆下修复过程。 现象: 从上述现象至少得到2个信息:1,病毒会通过自动播放传播;2,病毒可能利用映像劫持。 故障现象: 登录到桌面后,发现一个类似记事本的程序不停打开一个小对话框,速度很快,根本来不及关闭,任务管理器也调不出来。立即拿出我的杀毒U盘,其中常备ProcessExplorer、冰刃、Sreng。发现杀毒U盘没有正常的启动成功。双击冰刃/Sreng都宣告失败。 解决步骤: 然后,双击U盘上的ProcessExplorer,一眼看到有记事本图标的三个进程,尝试结束其中一个,发现结束后,程序会立即重新启动。看来,直接KILL进程是不行的。结束不行,就用下冻结进程,分别选中这三个进程,单击右键,在进程属性中选择Suspend(暂停)进程,病毒就不再弹出新的对话框,杀它就容易了。(参考下图的示例:)  切换到冰刃,简单地通过进程管理,根据病毒进程的程序位置和文件名,轻松使用冰刃内置的文件管理器浏览到这几个文件,复制一个备份到桌面,再单击右键,选择强制删除。  接下来,再切换到冰刃窗口中的注册表编辑器,浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,逐个查看子注册表键中对应的程序名,找到另一个病毒程序。(这里要说明一下,有网友认为只需要保留Your Image File Name Here without a path子键,其它都可以删除。觉得这样做还是有风险的,谨慎的做法还是一个子键一个子键的检查,如果发现键值为病毒程序的路径时,再删除这个子键)。  同样,需要使用冰刃的文件管理器将病毒程序强制删除。这个病毒太恶劣了,我发现几乎所有的杀毒软件、防火墙、系统自带的管理工具(regedit,msconfig,cmd,任务管理器)、第三方的系统辅助工具(Sreng、autoruns、冰刃)全部被劫持。 修复注册表后,双击杀毒U盘中的毒霸,新版杀毒U盘增加了监视功能,在我点击桌面备份的那几个病毒程序时,杀毒U盘的监控立即干掉了病毒。然后打开资源管理器,浏览到其它分区根目录,杀毒U盘又把另几个分区根目录下隐藏的病毒干掉。 另类解决方案: @echo off 重启电脑后,病毒程序也启动不了,呵呵,比较毒吧,然后把注册表编辑器的程序名regedit.exe为其它的什么名字,双击后对注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项进行修改。再升级杀毒软件杀毒。 总结: 建议: 这里,把我使用的这几个小工具顺带推荐一下,方便网友查找 附,对于映像劫持Image File Execution Options的修复,提供两个好用且通用的方法: 工具软件是金山清理专家,在线安全诊断中,点全面诊断,就可以看到 
可以选中对应的可疑项,在弹出的快捷菜单中点定位到注册表,然后快速删除注册表项。或者选择定位到文件,查找这个有问题的文件,把文件提交给技术人员分析。 或者在清理专家百宝箱的另一个插件“系统修复工具”,选中后,点修复就行。  |
