在下一直以嵌入式开发糊口,比如Linux,VxWorks 的开发,有时搞搞Linux 防火墙之类,在Windows 下并没有中过太多招.直到有一天我同学把手提电脑搬来找来,说了中了很厉害的病毒.因为没光驱不能重装.看我能不能杀一下病毒.我用一下常规杀病毒的方法杀一下,搞不掂,未果拿回家.但最后发现我的手提电脑居然中了同样病毒.由于电脑有很多软件和数据,重装代价太大,于是开始研究起这一个病毒的机制起来.
仔细研究下来,发现这个病毒非常不简单,有很多机制互相保护自己不能被杀掉.在互联网上找找了,资料不多.可能是最新出的病毒,有个别人中了相同现象的病毒也是无解.只能靠自己解决了.花了二天时间,我认为还是在我的机器基本上清除这个木马了.但是只有我一台机的样本,我把清查的经验公布出来,希望对大家有所帮助.是否完全清除,希望大家通过QQ: 451123230跟我交流,大家共同追杀病毒.
最基本的现象如下.
- 用360卫士查杀,说在系统盘Autorun型木马.用360卫士清除不掉.下载Autorun专杀工具也无效.但在系统盘的根目录看不到Autorun.inf ,用SREngPS可以扫描到autorun.inf 的内容是
[AutoRun]
Open=autorun.exe
Shell/Open/Command=autorun.exe
-
l 系统盘的根目录下有一个奇怪的nerochek.exe
-
l .在注册表的启动项.被加上一个启动项. BootClean, 指向C:/windows/system/smartdrv.exe .
-
l 双击盘符打不开所有盘的目录,但是可以用资源管理器打开
-
l 很多可执行文件被删除,重装后又不久被自动删除.
-
l IE打不开.但用Firefox 正常工作
-
l 我用卡巴斯基,它提示有一个可执行程序在c:/windows/system32创建nerocheck.exe ,这个文件和smartdrv.exe 都被卡巴斯基检测出有Backdoor.win32.Bifose.ago.
进入纯DOS环境下,可以发现每一个盘符根目录下,都有一个Autorun.inf,Autorun.exe.在Windows 的目录窗口下看不到,明显Windows系统中被安装一个文件过滤驱动(IFS),在DOS下删除这提到几个文件,进入Windows ,autorun.inf,autorun.exe,smartdrv.exe ,都被创建.清除注册表的启动项BootCle
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
