这次的病毒是在同事的电脑上,进程表中explorer.exe占用大量CPU资源,整个系统的CPU使用率一直是100%,导致其它应用程序都卡得无法运行,从任务管理器中结束explorer.exe进程,CPU使用率很快回落,但是不能重新运行explorer.exe,否则马上又会占满CPU。同时发现有两个smss.exe进程,后来发现其中一个smss.exe是在windows目录下,很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条,进入安全模式时出现蓝屏。
为了能够操作电脑,只有从任务管理器中结束explorer.exe进程,这时任务栏与桌面图标也会消失,只剩下光光的桌面背景与任务管理器,可以从管理器的菜单-文件-新建任务(运行...)-浏览中打开硬盘与文件夹,进行一些基本的文件操作(如果要查看所有文件类型,需要将浏览界面下的文件类型改为“所有文件”,否则只显示“程序”),如删除文件与运行程序,不过从这里进行删除时,虽然explorer.exe进程已经结束了,但仍有不少文件会被提示正在使用不允许删除,因此,我只用它来运行程序。
从任务管理器的新建任务中找到并运行IE,这是为了下载一些工具,如果电脑硬盘上已经有这些工具,就可以直接找到并运行(通过浏览找到,然后在新建任务界面上点击确定就可以运行了。就本例而言,首先下载的是windows清理助手,然后运行它进行检查,发现好多,特别是被告之comres.dll被替换。继续上网下载comres.dll,放到windows清理助手所在文件夹下的sif文件夹中用于修复,然后执行助手的清理,由于助手要执行内核级操作而需要重启。然而经过几次清理,仍有一些顽固木马存在,windows清理助手已经无能为力,包括那个comres.dll也未能替换,不过把病毒文件comres.dll给改了个名,这倒不要紧,自己动手拷正常文件comres.dll到c:\windows\system32下就可以了。但其它的残留病毒文件还得自己手动清除。
接下来使用SREng,又有更多发现,与前几天记录的清除comres.dll等木马很相似(可以参考)。注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下新增大量病毒启动项,引用文件都是随机的字母与数字的组合,而且文件名还特长,如Je9hR9NedWPyAckEN42c.inf,位置分别在windows目录下的system32、tasks(任务计划的文件夹)、fonts(字体文件夹)、Downloaded Program Files,后三个文件夹都是特殊的系统文件夹,如果直接打开,别想看到这些病毒文件,不过我们有winrar,用winrar依次进入这些文件夹,马上普通文件夹视图下看不见的文件全出现了。但是,在winrar中有的文件仍然是不让删除的,继续借助工具,使用powerrmv(费尔木马强力清除助手,还有一个是暴力灭杀天王的powerrmv,别弄混了),在powerrmv中打开浏览也是在以上位置找不到那些文件的,但可以借用winrar(支持文件重命名)与SREng,把文件与路径拷到powrrmv中,执行“清除,并抑制文件再次生成”,就能够删除顽固文件,并生成同名文件夹来抑制删除的病毒对象再生,不能马上删除的也能改名等待重启后再删除。注意以上文件夹中的病毒文件并没有全部出现在SREng的注册表启动项中,因此可以在进入以上文件夹后,按时间排序,把与嫌疑文件同时创建与修改并类似名字的文件一起删除,如tasks文件夹中除了在注册表中出现的文件外,还有一些同时创建的文件,后缀是ico,文件名则与那些已经发现的病毒文件类似,也是字母、数字的随机组合,且位数很多,如x7j7yet9WK9FdYSD.ico,但这并不是真正的图标文件,应该是一些病毒木马的配置文件。如担心误删,建议删除前先备份。
删除了以上这样文件后,大部分工作就完成了,仅残余注册表中的启动项,除上述的ShellExecuteHooks外,还有AppInit_Dlls与映像劫持(IFEO)。一般AppInit_Dlls的值默认为空,但在删除文件未重启系统前,AppInit_Dlls和ShellExecuteHooks中的病毒添加项都不允许删除,重启后才可以执行此操作(反正文件已经摆平)。而IFEO在本例中仅有一项劫持项:DrRtp.exe,这是QQ医生的文件,看来该木马是准备对QQ下手的,debuger值是svchost.exe,这是系统文件,这个别删了,只把注册表的IFEO项删除即可(当时还发现该电脑上的注册表编辑器regedit被锁,这个不难,用SREng就能解开,同时还改了该注册表项的权限不允许删除,因此删除前要先赋于待删除项的完全控制权限,右击删除项-权限)。
这些做完后,再进入系统临时文件夹TEMP,删除临时文件(这是病毒很喜欢的聚集地,具体位置请查看环境变量:右击我的电脑-属性-高级-环境变量),还有IE缓存(在internet选项中删除)。最后再运行windows清理助手,文件虽然没了,注册表中还有一些残余,一起找出来删除,当然如果不喜欢用windows清理助手,你也可以使用其它的工具。安全模式蓝屏的修复,用SREng的系统修复-高级-修复安全模式。
至此,清除工作基本完成,看下时间,约一个小时,主要是这台电脑配置差,一些运行较慢,比如windows助手的扫描与清理、系统的重启、下载等。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/509.html