今天发现中了Virus.Win32.Alman病毒病毒,与之战斗了一个下午,将过程大概描述一下,希望能给大家提供一个参考。 {4 U �m"|E
g��*>x1bL"
卡巴斯基、symantec、nod32可以识别,斯基经过反复查杀可以清理掉,不过exe就完全损失了,需要重新安装。nod可以隔离,但是清理效果很不理想,exe也是无法继续使用了。symantec能够清理病毒,至于exe是否还能正常使用没有具体去试,忽略而过。 baB2Dpf10l
q2|9Wd ^�
行为:创建linkinfo.dll于windows目录 �p,uhH @p
apphelps.dll于windows\apppatch目录 73D \?~2Q�
riodrvs.sys于windows\system32\drivers Ds2?,�{d_
创建riodrvs服务 LH"u;]q0S
注入explorer.exe B jTL"�Lir
Tc2XzI�|�
特点:也是这个病毒最与众不同之处,是本人唯一见过的奇怪现象,用了很多工具,只能看到apphelps.dll这一个文件,另外两个不但文件看不到,连进程都看不到,但是杀毒软件会发现它们。 Z�;�d�7� %
}Nz~�?M_�+
相关工具:Wsyscheck B�c�n eL�[
sreng2 #&Bw3Y���$
Pocket KillBox【剑盟推荐用xdelbox,可惜俺们硬盘全部是ntfs格式,不能用它】 ��B ']7X�b
ProcessExplorer【冰刃无法运行,说个题外话,冰刃自身保护太脆弱了,太多的病毒让它无法运行,而其他的工具比它坚挺的多了】 ~OxesVG�
剑盟AlManFix "(@�8��-"4
nod32 -w�H�jA�1`
- +@5t "_�
相关过程:全部在断网中进行 �kPcD�X0U
�I3 i79#-E
1、进入安全模式,用sreng修复若干入口点错误,并运行一次自动修复; !p"3/�1Ss^
用killbox强行删除apphelps.dll,禁止创建; E .z@!}Ud
删除riodrvs服务; u"��YZq?2
安装nod32,重启进入正常模式,扫描并隔离染毒exe; cWW>L/0+c1
用剑盟AlManFix修复染毒exe �/RD;| %w.
此为第一次试验过程,隔了一段时间,无效,nod再次提示原染毒exe感染。 <GZ\sUZ{"6
_P)6n\XS+�
2、再次观察,apphelps.dll不再创建,killbox生效; Z9 a�A{r�
Wsyscheck结束所有红色进程,并观察winlogon和explorer、svchost进程模块,终于发现linkinfo和 riodrvs.sys,创建安全环境,删除之; .1\v��PN<H
原来删除的riodrvs服务又还原了,再次删除该服务; �LFs2N'*H;
重启进入正常模式,再次用nod扫描,并用剑盟工具修复exe; 1��� ��v_�
此次较为理想,不再出现提示,不过exe修复工具或许是因为针对的是Virus.Win32.Alman.a,对于我中的b基本没作用,染毒的exe仍然无法修复,目前只能重装了,好在只是那几个固定的exe染毒,问题不大。 Imc�<}��9z
F?$o{"Og�%
3、自己处理的同时观察旁边同事用卡巴斯基7.0清理的过程,司机全盘扫描了三次,才完全清除了该病毒,但是所有染毒文件全部完蛋。 |
最新文章
