需要软件
---------------------------------------------
AutoRun
Process Explorer
UnLocker
---------------------------------------------
病毒分析
---------------------------------------------
主要载体
%s.sys
%s.dll
一部分内存区域
SYS为驱动级程序.且优先级非常高.安全模式下仍然加载.
注入SYSTEM进程.所以清除工作都在正常模式下进行.
DLL为辅助修复程序.通过rundll32模块启动.注入explorer进程.
所有文件名为随机8字符命名.DLL文件为SYS文件的文件名ASCII码值-1所得.
使用NotifyRoutine回调函数.在系统完全清除完载体然后启动新程序.病毒仍然会从内存中恢复.
---------------------------------------------
清理过程(请注意.清除该病毒有危险性.可能导致系统无法正常启动.)
---------------------------------------------
请先清理掉目前全部的无关进程.
先用AutoRun确定载体文件名.
在HKLM/System/CurrentControlSet/Services栏下.如果驱动名满足以下3个条件者即为病毒.
1.驱动名为8位字符.
2.驱动描述为Network Driver
3.发行者为Microsoft Corporation但是无法通过签名验证(右键.效验签名)
可以得到病毒名.本例为BCDEFGHI.SYS
按病毒规则可以推断出DLL名为ABCDEFGH.DLL
---------------------------------------------
准备步骤.
不关闭AUTORUNS.打开两CMD窗口.用tasklist /m ABCDEFGH.DLL
检查DLL是否只插入explorer.请记下插入的进程.
如果还插入其他进程.到时请用UNLOCKER关闭句柄或者直接关闭进程.
复制系统SYS文件.重命为BCDEFGHI.SYS加只读属性.不做动作.
打开Proces* **plorer 双击system进程.转到线程页.不做动作.
文件夹选项设置"显示所有文件".
打开任务管理器. 用"运行"功能定位到c:/windows/system32/drivers/ 病毒文件上.不做动作.
CMD1号 窗口输入copy con c:/windows/system32/ABCDEFGH.DLL
然后按F6回车保存文件.
到提示是否改写步骤.不做动作.
CMD二号窗口待用.
-------------------------------------------------
在CMD二号窗口用TASKKILL命令关闭explorer及其他DLL插入进程.
确定EXPLORER关闭后.输入REGSVR32 /U ABCDEFGH.DLL 反注册DLL类.反注册后请立刻到CMD1选择改写文件.
改写后输入attrib c:/windows/system32/ABCDEFGH.DLL +r 为DLL加只读属性.
输入replace BCDEFGHI.SYS(自己创建的空文件) c:/windows/system32/drivers/BCDEFGHI.SYS
输入后不做操作.
转到Proces* **plorer .将BCDEFGHI.SYS句柄内容全部设置为中断.
到刚刚任务管理器定位的病毒文件.用UNLOCKER将文件句柄关闭.直到显示"没有操作"
没有操作后迅速转到输入replace的CMD窗口按下回车.替换病毒载体.
转到AutoRun.删除BCDEFGHI.SYS项.删除后迅速将计算机断电.(不要使用关机功能)
再次进入系统.注册表搜索ABCDEFGH.DLL.清理.
-------------------------------------------------
清除注意.替换SYS最好用系统的SYS.空SYS文件会造成系统无法启动.
这个病毒相当有难度.第一次清除后无断电操作.结果被NotifyRoutine回调成功.文件被立刻修改返回.
第二次清除用空文件替换后造成系统无法启动.
第三次才算完整处理.
清除完记得不要打开IE.在控制面版IE设置里修改好首页及清除缓存后在打开.
----------------------------------------------------
---------------------------------------------
AutoRun
Process Explorer
UnLocker
---------------------------------------------
病毒分析
---------------------------------------------
主要载体
%s.sys
%s.dll
一部分内存区域
SYS为驱动级程序.且优先级非常高.安全模式下仍然加载.
注入SYSTEM进程.所以清除工作都在正常模式下进行.
DLL为辅助修复程序.通过rundll32模块启动.注入explorer进程.
所有文件名为随机8字符命名.DLL文件为SYS文件的文件名ASCII码值-1所得.
使用NotifyRoutine回调函数.在系统完全清除完载体然后启动新程序.病毒仍然会从内存中恢复.
---------------------------------------------
清理过程(请注意.清除该病毒有危险性.可能导致系统无法正常启动.)
---------------------------------------------
请先清理掉目前全部的无关进程.
先用AutoRun确定载体文件名.
在HKLM/System/CurrentControlSet/Services栏下.如果驱动名满足以下3个条件者即为病毒.
1.驱动名为8位字符.
2.驱动描述为Network Driver
3.发行者为Microsoft Corporation但是无法通过签名验证(右键.效验签名)
可以得到病毒名.本例为BCDEFGHI.SYS
按病毒规则可以推断出DLL名为ABCDEFGH.DLL
---------------------------------------------
准备步骤.
不关闭AUTORUNS.打开两CMD窗口.用tasklist /m ABCDEFGH.DLL
检查DLL是否只插入explorer.请记下插入的进程.
如果还插入其他进程.到时请用UNLOCKER关闭句柄或者直接关闭进程.
复制系统SYS文件.重命为BCDEFGHI.SYS加只读属性.不做动作.
打开Proces* **plorer 双击system进程.转到线程页.不做动作.
文件夹选项设置"显示所有文件".
打开任务管理器. 用"运行"功能定位到c:/windows/system32/drivers/ 病毒文件上.不做动作.
CMD1号 窗口输入copy con c:/windows/system32/ABCDEFGH.DLL
然后按F6回车保存文件.
到提示是否改写步骤.不做动作.
CMD二号窗口待用.
-------------------------------------------------
在CMD二号窗口用TASKKILL命令关闭explorer及其他DLL插入进程.
确定EXPLORER关闭后.输入REGSVR32 /U ABCDEFGH.DLL 反注册DLL类.反注册后请立刻到CMD1选择改写文件.
改写后输入attrib c:/windows/system32/ABCDEFGH.DLL +r 为DLL加只读属性.
输入replace BCDEFGHI.SYS(自己创建的空文件) c:/windows/system32/drivers/BCDEFGHI.SYS
输入后不做操作.
转到Proces* **plorer .将BCDEFGHI.SYS句柄内容全部设置为中断.
到刚刚任务管理器定位的病毒文件.用UNLOCKER将文件句柄关闭.直到显示"没有操作"
没有操作后迅速转到输入replace的CMD窗口按下回车.替换病毒载体.
转到AutoRun.删除BCDEFGHI.SYS项.删除后迅速将计算机断电.(不要使用关机功能)
再次进入系统.注册表搜索ABCDEFGH.DLL.清理.
-------------------------------------------------
清除注意.替换SYS最好用系统的SYS.空SYS文件会造成系统无法启动.
这个病毒相当有难度.第一次清除后无断电操作.结果被NotifyRoutine回调成功.文件被立刻修改返回.
第二次清除用空文件替换后造成系统无法启动.
第三次才算完整处理.
清除完记得不要打开IE.在控制面版IE设置里修改好首页及清除缓存后在打开.
----------------------------------------------------
8324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
