记一次清除“帕虫”病毒

下午到一朋友家去看计算机 系统是XP的,朋友说估计是中的病毒 用起来很不爽 而且杀毒软件都失效了 进与安全有关的网站都会自动关闭,CMD下dir/a/w一下 哇 好熟悉的东西啊——Autorun.inf+一个可执行文件。

以常规的办法尝试清除一下,不见效果……重启F8 进安全模式,结果加载完最后一个底层驱动的时候蓝屏,系统崩溃。很明显安全模式已经被病毒破坏掉。

重新回到正常模式下的XP,发现任何工具软件只要是调用了进程哪、企图修改设置啊、哪怕稍微能够改变注册表的,都无法启动。看来这个病毒是比较棘手的了(后来确认,就是传说中的“帕虫”,要知道我很郁闷的,一年多没有碰有关软件方面的东西了,很多新东西不知道是很正常的。知道的就不要笑我了……)。从网上(ADSL模式)复制了一段修复安全模式的注册表信息,存为REG文件导入。重启,安全模式终于可以进去了,心里喜喜地想可以运行工具了,结果发现只要一运行某些U盘病毒清除工具,那个可恶的病毒进程就奇迹般地运行了。还好有拜月同志提醒,把U盘清除工具程序的名字改名……运行……就可以启动了(我当时狂晕:这个帕虫对自己的保护工作做得非常出色,竟然在这里出现了败笔,不是通过特征码来识别防护软件的)。

经过一系列的操作,我满以为已经解决了。当我再次重启的时候,我发现之前的努力都付诸东流了——病毒死灰复燃了……后来同样的方法恢复安全模式,再借助工具,我终于弄明白这个“帕虫”在%Windows%/system32中会生成一些dll文件,都加载到了系统内核里卖弄,用于保护自己(这个过程好像叫什么IFEO劫持,也就是所谓的windows文件映像劫持)。这个时候又要借助Unlock来清除这些保护机制了……

最后经过一系列的工作,终于把这个可恶的家伙赶出了朋友的电脑。之后进行的一些防御性设置当然不在话下。

总的来说,这个帕虫还是比较成功的,每次只要程序一运行,先破机器上的杀毒软件和其他防护软件,然后破坏安全模式,接着采取一系列的保护措施:当用户使用的浏览器上出现某些关键字的时候,浏览器就会被病毒强制关闭;修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行;

不过其也有几个败笔,首先是只在启动的破坏安全模式,如果在每次系统启动和结束的时候都破坏安全模式的话,那会更加棘手。再者就是其确认防护软件竟然用的是关键字模式而不是特征码模式,这样使得修改一下程序名字就可以勉强运行。还有就是IFEO劫持不够绝,哈哈 如果加强一下这几个方面这个病毒绝对更难清除 呵呵

先吃饭了 吃完饭把几个工具补上


「倘若有所帮助,不妨酌情赞赏!」

Holmesian

感谢您的支持!

使用微信扫描二维码完成支付

发表新评论
暂无评论
  1. Tun

    飘过...飘过...超出理解范围,无视

    Tun 回复
  2. 一枫

    看得懂中文字,看不懂说什么....

    一枫 回复
  3. Holmesian

    附对该类病毒的免疫方法:在驱动器根目录建立一个不可删除的文件夹,叫做"autorun.inf",利用windows同目录文件不允许重名这个特点,使病毒无法写入autorun.inf ,破坏病毒的启动。就这么简单。
     
     举个例子,现在我们免疫C盘,如下操作:
     
     1:  打开cmd窗口
     2:  C:
     3:  md autorun.inf  (建立"autorun.inf"文件夹)
     4:  cd autorun.inf  (进入"autorun.inf"文件夹)
     5:  md Holmesian..        (创建Windows下不可删除的文件夹)
     
     这样子,C:盘里面会出现一个名为autorun.inf的文件夹,内有一个名为"Holmesian."的子文件夹,无法删除的。成功。
     对于每一个驱动器,建议都免疫一下。

    Holmesian 回复