ghost之后仍然中病毒----與病毒的斗爭
我的電腦系統是XP,從來都沒有安裝任何殺毒軟件,所有的軟件都是安裝在C盤的,感覺系統卡頓就用Windows一鍵還原(基於DOS下的ghost)還原一下,一直這樣挺好的。
2017年春節后,突然發現就是用ghost還原之后,也不行了,系統很快又中病毒,具體表現為:
1、排除了備份的gho系統中毒,因為這個gho系統用了兩年多了一直沒問題。
2、ghost后仍然中病毒,懷疑是不是鬼影病毒、機器狗、威金病毒,用diskgenius重建MBR,並且清除保留扇區,恢復后無果證明不是鬼影。搜索了C盤隱藏文件沒有pcihdd.sys文件,也不是機器狗。搜索威金病毒感染標志_desktop.ini文件,也沒有,證明不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件內容:
127.0.0.1 ZieF.pl
恢復后修改為127.0.0.1 localhost,仍然感染。
3、開始運行cmd,有時無法輸入任何字符。
4、感染后,用msconfig查看非Microsoft系統服務,里面增加了Volume shadow copy和Application L??? G???(名字記不清,不是微軟的Application Layer Gateway Service)服務,應該是病毒的服務。
5、搜狗瀏覽器高速模式無法打開任何網頁,IE兼容模式可以打開,有個黑色的似乎是cmd窗口一閃而過,網頁排版混亂有空格。
6、smart install maker打包生成exe文件后,無法正常打開,提示不是標准的win32程序。
7、用SREng掃描,打開的時候就提示入口點錯誤,修復后再次打開,仍然有提示。
SREng掃描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口點錯誤:NtCreateFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF93F86)
入口點錯誤:NtCreateProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94015)
入口點錯誤:NtCreateProcessEx (危險等級: 高, 被下面模塊所HOOK: 0x7FF94022)
入口點錯誤:NtQueryInformationProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94063)
入口點錯誤:ZwCreateFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF93F86)
入口點錯誤:ZwCreateProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94015)
入口點錯誤:ZwCreateProcessEx (危險等級: 高, 被下面模塊所HOOK: 0x7FF94022)
入口點錯誤:ZwOpenFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF9400B)
入口點錯誤:ZwQueryInformationProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94063)
==================================
啟動項目
注冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在運行的進程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
進程特權掃描
特殊特權被允許: SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特權被允許: SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
8、用Windows清理助手ArSwp3標准掃描,發現C:\WINDOWS\及C:\WINDOWS\system32\下的系統文件被修改,好幾個是核心文件:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示,從備份的C盤的gho文件中提取上述文件,放到F:\bak\arswp3\sif目錄下,然后進行清理,ArSwp3清理后自動重啟,並把上述文件恢復到系統中,但系統仍然是中毒狀態,仍然有前面的各種中毒表現。
C:\WINDOWS\system32\dllcache\下面對應的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
由於ArSwp3認定notepad.EXE和regedit.exe被感染,直接刪除,導致記事本和注冊表編輯器運行不了。
9、把一個病毒樣本上傳到http://virscan.org/進行雲鑒定,發現61%的殺毒引擎認為有病毒,國內的引擎除360殺毒和百度殺毒外,江民殺毒、金山毒霸、瑞星、安天、費爾、熊貓衛士(總部歐洲)、趨勢科技(總部美日)、安博士V3(總部韓國)都認為是病毒。
金山毒霸最新版病毒庫,掃描文件總數:194881,只查殺了大約50個病毒,恢復后無果。
在官網下載瑞星殺毒V17,根本安裝不上;
安天主要是網絡安全產品,未嘗試;
費爾是收費的未測試;
卡巴斯基太卡不爽未測試。
下載了江民殺毒速智及離線升級包update.exe,可以試用一個月。
10、安裝好江民殺毒速智和離線升級包,打開電腦里面的文件,馬上提示系統文件有病毒,於是利用晚上的時間進行全盤掃描,查殺了2000多個Win32/virut.bn病毒,殺毒后自動重啟,第二天起來看看,sim編譯打包的exe文件仍然無法運行,證明系統還是有病毒,於是再次用ghost恢復到干凈的系統,恢復的時候,江民再次提示C:\WGHO\GRUB等目錄的文件被感染並殺掉,恢復完畢,再次sim編譯打包的exe就可以運行了,搜狗瀏覽器高速模式也正常,至此,問題解決。
從以上與該病毒的斗爭中發現,C盤雖然恢復后沒有病毒了,但是因為其他盤符里面的exe文件已被感染,再次運行染毒文件,C盤的很多系統文件就會很快地被感染,而且病毒駐留內存,伺機感染打開的文件,造成許多程序運行異常,該病毒感染速度極快,東方微點主動防御無法預防,免費的金山毒霸無法全殺,自從金山毒霸免費后,感覺越來越不行了!最后用江民殺毒全盤殺毒,而且還恢復了一次才算徹底解決!在此向江民殺毒表示忠心感謝!如果殺毒軟件不能徹底殺滅非系統盤病毒,即使恢復C盤,重啟后病毒仍然會死灰復燃,主動防御類新概念防毒軟件根本無法徹底殺滅病毒,其本質其實是永遠被動地防御病毒的入侵,根本防御不了,無法造就一個徹底干凈的系統環境。因此,基於文件感染型的病毒,還是老老實實地用老版的特征碼殺毒軟件進行殺滅吧,查殺后才會有一個徹底干凈的系統,推薦在RAMOS中安裝殺毒軟件,利用晚上的時間進行全盤查殺,然后進入PE進行恢復,不要用備份在硬盤上的ghost.exe來恢復,因為備份的ghost.exe可能有病毒。