ghost之后仍然中病毒----与病毒的斗争

ghost之后仍然中病毒----与病毒的斗争
我的电脑系统是XP，从来都没有安装任何杀毒软件，所有的软件都是安装在C盘的，感觉系统卡顿就用Windows一键还原（基于DOS下的ghost）还原一下，一直这样挺好的。
2017年春节后，突然发现就是用ghost还原之后，也不行了，系统很快又中病毒，具体表现为：
1、排除了备份的gho系统中毒，因为这个gho系统用了两年多了一直没问题。
2、ghost后仍然中病毒，怀疑是不是鬼影病毒、机器狗、威金病毒，用diskgenius重建MBR，并且清除保留扇区，恢复后无果证明不是鬼影。搜索了C盘隐藏文件没有pcihdd.sys文件，也不是机器狗。搜索威金病毒感染标志_desktop.ini文件，也没有，证明不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件内容：
127.0.0.1 ZieF.pl
恢复后修改为127.0.0.1 localhost，仍然感染。
3、开始运行cmd，有时无法输入任何字符。
4、感染后，用msconfig查看非Microsoft系统服务，里面增加了Volume shadow copy和Application L??? G???(名字记不清，不是微软的Application Layer Gateway Service)服务，应该是病毒的服务。
5、搜狗浏览器高速模式无法打开任何网页，IE兼容模式可以打开，有个黑色的似乎是cmd窗口一闪而过，网页排版混乱有空格。
6、smart install maker打包生成exe文件后，无法正常打开，提示不是标准的win32程序。
7、用SREng扫描，打开的时候就提示入口点错误，修复后再次打开，仍然有提示。
SREng扫描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口点错误：NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误：NtCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误：NtCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误：NtQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
入口点错误：ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误：ZwCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误：ZwCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误：ZwOpenFile (危险等级: 高, 被下面模块所HOOK: 0x7FF9400B)
入口点错误：ZwQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在运行的进程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
8、用Windows清理助手ArSwp3标准扫描，发现C:\WINDOWS\及C:\WINDOWS\system32\下的系统文件被修改，好几个是核心文件：
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示，从备份的C盘的gho文件中提取上述文件，放到F:\bak\arswp3\sif目录下，然后进行清理，ArSwp3清理后自动重启，并把上述文件恢复到系统中，但系统仍然是中毒状态，仍然有前面的各种中毒表现。
C:\WINDOWS\system32\dllcache\下面对应的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
由于ArSwp3认定notepad.EXE和regedit.exe被感染，直接删除，导致记事本和注册表编辑器运行不了。
9、把一个病毒样本上传到http://virscan.org/进行云鉴定，发现61%的杀毒引擎认为有病毒，国内的引擎除360杀毒和百度杀毒外，江民杀毒、金山毒霸、瑞星、安天、费尔、熊猫卫士（总部欧洲）、趋势科技（总部美日）、安博士V3(总部韩国)都认为是病毒。
金山毒霸最新版病毒库，扫描文件总数：194881，只查杀了大约50个病毒,恢复后无果。
在官网下载瑞星杀毒V17，根本安装不上；
安天主要是网络安全产品，未尝试；
费尔是收费的未测试；
卡巴斯基太卡不爽未测试。
下载了江民杀毒速智及离线升级包update.exe，可以试用一个月。
10、安装好江民杀毒速智和离线升级包，打开电脑里面的文件，马上提示系统文件有病毒，于是利用晚上的时间进行全盘扫描，查杀了2000多个Win32/virut.bn病毒，杀毒后自动重启，第二天起来看看，sim编译打包的exe文件仍然无法运行，证明系统还是有病毒，于是再次用ghost恢复到干净的系统，恢复的时候，江民再次提示C:\WGHO\GRUB等目录的文件被感染并杀掉，恢复完毕，再次sim编译打包的exe就可以运行了，搜狗浏览器高速模式也正常，至此，问题解决。
从以上与该病毒的斗争中发现，C盘虽然恢复后没有病毒了，但是因为其他盘符里面的exe文件已被感染，再次运行染毒文件，C盘的很多系统文件就会很快地被感染，而且病毒驻留内存，伺机感染打开的文件，造成许多程序运行异常，该病毒感染速度极快，东方微点主动防御无法预防，免费的金山毒霸无法全杀，自从金山毒霸免费后，感觉越来越不行了！最后用江民杀毒全盘杀毒，而且还恢复了一次才算彻底解决！在此向江民杀毒表示忠心感谢！如果杀毒软件不能彻底杀灭非系统盘病毒，即使恢复C盘，重启后病毒仍然会死灰复燃，主动防御类新概念防毒软件根本无法彻底杀灭病毒，其本质其实是永远被动地防御病毒的入侵，根本防御不了，无法造就一个彻底干净的系统环境。因此，基于文件感染型的病毒，还是老老实实地用老版的特征码杀毒软件进行杀灭吧，查杀后才会有一个彻底干净的系统，推荐在RAMOS中安装杀毒软件，利用晚上的时间进行全盘查杀，然后进入PE进行恢复，不要用备份在硬盘上的ghost.exe来恢复，因为备份的ghost.exe可能有病毒。