ghost之后仍然中病毒----与病毒的斗争
ghost之后仍然中病毒----与病毒的斗争
我的电脑系统是XP,从来都没有安装任何杀毒软件,所有的软件都是安装在C盘的,感觉系统卡顿就用Windows一键还原(基于DOS下的ghost)还原一下,一直这样挺好的。
2017年春节后,突然发现就是用ghost还原之后,也不行了,系统很快又中病毒,具体表现为:
1、排除了备份的gho系统中毒,因为这个gho系统用了两年多了一直没问题。
2、ghost后仍然中病毒,怀疑是不是鬼影病毒、机器狗、威金病毒,用diskgenius重建MBR,并且清除保留扇区,恢复后无果证明不是鬼影。搜索了C盘隐藏文件没有pcihdd.sys文件,也不是机器狗。搜索威金病毒感染标志_desktop.ini文件,也没有,证明不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件内容:
127.0.0.1 ZieF.pl
恢复后修改为127.0.0.1 localhost,仍然感染。
3、开始运行cmd,有时无法输入任何字符。
4、感染后,用msconfig查看非Microsoft系统服务,里面增加了Volume shadow copy和Application L??? G???(名字记不清,不是微软的Application Layer Gateway Service)服务,应该是病毒的服务。
5、搜狗浏览器高速模式无法打开任何网页,IE兼容模式可以打开,有个黑色的似乎是cmd窗口一闪而过,网页排版混乱有空格。
6、smart install maker打包生成exe文件后,无法正常打开,提示不是标准的win32程序。
7、用SREng扫描,打开的时候就提示入口点错误,修复后再次打开,仍然有提示。
SREng扫描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口点错误:NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:NtCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:NtCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:NtQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
入口点错误:ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:ZwCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:ZwCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:ZwOpenFile (危险等级: 高, 被下面模块所HOOK: 0x7FF9400B)
入口点错误:ZwQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在运行的进程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
8、用Windows清理助手ArSwp3标准扫描,发现C:\WINDOWS\及C:\WINDOWS\system32\下的系统文件被修改,好几个是核心文件:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示,从备份的C盘的gho文件中提取上述文件,放到F:\bak\arswp3\sif目录下,然后进行清理,ArSwp3清理后自动重启,并把上述文件恢复到系统中,但系统仍然是中毒状态,仍然有前面的各种中毒表现。
C:\WINDOWS\system32\dllcache\下面对应的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
由于ArSwp3认定notepad.EXE和regedit.exe被感染,直接删除,导致记事本和注册表编辑器运行不了。
9、把一个病毒样本上传到http://virscan.org/进行云鉴定,发现61%的杀毒引擎认为有病毒,国内的引擎除360杀毒和百度杀毒外,江民杀毒、金山毒霸、瑞星、安天、费尔、熊猫卫士(总部欧洲)、趋势科技(总部美日)、安博士V3(总部韩国)都认为是病毒。
金山毒霸最新版病毒库,扫描文件总数:194881,只查杀了大约50个病毒,恢复后无果。
在官网下载瑞星杀毒V17,根本安装不上;
安天主要是网络安全产品,未尝试;
费尔是收费的未测试;
卡巴斯基太卡不爽未测试。
下载了江民杀毒速智及离线升级包update.exe,可以试用一个月。
10、安装好江民杀毒速智和离线升级包,打开电脑里面的文件,马上提示系统文件有病毒,于是利用晚上的时间进行全盘扫描,查杀了2000多个Win32/virut.bn病毒,杀毒后自动重启,第二天起来看看,sim编译打包的exe文件仍然无法运行,证明系统还是有病毒,于是再次用ghost恢复到干净的系统,恢复的时候,江民再次提示C:\WGHO\GRUB等目录的文件被感染并杀掉,恢复完毕,再次sim编译打包的exe就可以运行了,搜狗浏览器高速模式也正常,至此,问题解决。
从以上与该病毒的斗争中发现,C盘虽然恢复后没有病毒了,但是因为其他盘符里面的exe文件已被感染,再次运行染毒文件,C盘的很多系统文件就会很快地被感染,而且病毒驻留内存,伺机感染打开的文件,造成许多程序运行异常,该病毒感染速度极快,东方微点主动防御无法预防,免费的金山毒霸无法全杀,自从金山毒霸免费后,感觉越来越不行了!最后用江民杀毒全盘杀毒,而且还恢复了一次才算彻底解决!在此向江民杀毒表示忠心感谢!如果杀毒软件不能彻底杀灭非系统盘病毒,即使恢复C盘,重启后病毒仍然会死灰复燃,主动防御类新概念防毒软件根本无法彻底杀灭病毒,其本质其实是永远被动地防御病毒的入侵,根本防御不了,无法造就一个彻底干净的系统环境。因此,基于文件感染型的病毒,还是老老实实地用老版的特征码杀毒软件进行杀灭吧,查杀后才会有一个彻底干净的系统,推荐在RAMOS中安装杀毒软件,利用晚上的时间进行全盘查杀,然后进入PE进行恢复,不要用备份在硬盘上的ghost.exe来恢复,因为备份的ghost.exe可能有病毒。
ghost之后仍然中病毒----与病毒的斗争的更多相关文章
- Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)
概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...
- 关于winlogo.exe中了“落雪”病毒的解决方法
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出.该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是 ...
- 我尼玛,二半夜的说中photo.src病毒了。
大半夜手机预警,中病毒了,我感觉也没啥东西呀.一个破小网站,别人黑我干啥. 登上服务器去一看,我滴个乖乖,photo.src病毒.服务器里面显示是一个背景桌面应用程序, 打算直接从文件夹删除,但是正在 ...
- centos系统中perl进程病毒占用大量网络流量导致网络瘫痪的问题分析及解决方案
故障现象: 1.系统在早上9点的时候非常慢,单台服务器占用流量很大,使交换机流量被占满,而连累挂在同一交换机上的其他应用也无法提供服务,或者速度非常慢 2.通过查看进程发现大量的perl程序占 ...
- 高速清除winXP系统中explorer.exe病毒
关于这个explorer.exe病毒.是眼下xp最为常见的一个病毒,会大量的消耗系统资源,造成电脑特别的卡顿. 1.关闭还原(假设没有,则跳过),为的是防止我们改动后,还原之后又回来了. 2.打开注冊 ...
- 服务器中了蠕虫病毒Wannamine2.0小记
近期用户反馈某台服务器总感觉性能不是很好存在卡顿,于是今天远程上去分析. 打开任务管理器发现CPU使用率非常低,内存使用也在接受范围内(10/64G).不过我有一个偏好就是不喜欢用系统自带的任务管理器 ...
- win7系统防止中招勒索病毒
echo @@ netsh advfirewall firewall add rule name= netsh advfirewall firewall add rule name= netsh ad ...
- 中了勒索病毒的win7系统
- 基于Linux平台病毒BlackHole病毒的决心
今天会见了病毒,少量的代码,但在使用小漏洞的函数的,真正的杀伤力相当惊人. 转载请注明出处:http://blog.csdn.net/u010484477谢谢^_^ watermark/2/text/ ...
随机推荐
- WEBBASE篇: 第二篇, HTML知识2
HTML知识2 <!doctype html> <html lang="en"> <head> <meta charset="U ...
- MarkDown常用语法表
MarkDown常用语法表 本文提供全流程,中文翻译.Chinar坚持将简单的生活方式,带给世人!(拥有更好的阅读体验 -- 高分辨率用户请根据需求调整网页缩放比例) 1 Title - 标题 2 H ...
- s21day01 python笔记
s21day01 python笔记 一.计算机基础 计算机的初步认识 用户:人 软件:QQ.浏览器等 解释器/编译器/虚拟机:java解释器.python解释器等 操作系统 硬件:CPU.内存.硬盘. ...
- 苹果手机不兼容autoplay属性
var audio=new Audio("music/music.mp3"); audio.preload="preload"; // 自动播放解决苹果不兼容a ...
- Codeforces Round #519
题目链接:传送门 A. Elections (思维+暴力) 思路: 从最小的k开始枚举就好了- -. #include <bits/stdc++.h> using namespace ...
- EasyUI datagrid 数据加载
网上找了好多人的方法发现都有问题发一个可用方便的 主要分三种情况 加载1,loaddata 加载2,datagrid 加载3, url 加载 第一部分,datagrid加载 第二部分,点击 datag ...
- python argv传递参数
test.pyimport sysprint(sys.argv) python test.py arg1 arg2 arg3 打印["test.py","arg1&quo ...
- Go Example--通道选择器
package main import ( "fmt" "time" ) func main() { c1 := make(chan string) c2 := ...
- Django之路由配置系统(urlConfig)
简而言之,django的路由系统作用就是使views里面处理数据的函数与请求的url建立映射关系.使请求到来之后,根据urls.py里的关系条目,去查找到与请求对应的处理方法,从而返回给客户端http ...
- oracle-db安装
在LINUX平台上手动创建多个实例(oracle11g) http://blog.csdn.net/sunchenglu7/article/details/39676659 安装完桌面与数据库软件后, ...