瑞星卡卡安全论坛

手工杀毒流程参考7楼内容

此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后，病毒被激活。

这是个.vbs＋数据流双料病毒（病毒的数据流部分只在NTFS分区有效，详见7楼图）。


此.vbs比较有个性：运行一次后，其MD5发生改变。RIS2010便不再认识它了（据网友反馈：KIS也是一样——杀旧不杀新）；但病毒行为不变。




此毒还有一个特点：如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe（实为系统程序wscript.exe）、删除了被病毒改写过的系统程序smss.exe（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”时，病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行，则双击我的电脑后系统报错，自然不能通过正常途径打开各个分区及各级目录。

用Tiny，将wscript.exe由信任组转入特殊组，设置文件访问及注册表访问规则，禁止非信任组程序的文件创建及注册表改写动作，然后，再双击“我的电脑”，此毒不能复活，且“我的电脑”以及各级目录可以顺利打开。




用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

我猜测是通过“数据流”搞鬼。

改写前后smss.exe的MD5并无变化。


改写前的





改写后的

这是它的加载项：

通过不同数据格式分区间的文件移动证实：此毒确实是”数据流“病毒：



因此，手工彻底杀灭此毒的流程应该是：

1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区（自动脱毒）。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe（被病毒附加了数据流）。
7、取消”禁止进程创建“。将刚才移动到FAT32分区（或U盘）的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表，显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项：
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。

ntfs下的数据流的清除，此工具比较简单

扫描扫描，删除删除即可，不需要将文件复制来复制去的。

http://bbs.ikaka.com/showtopic-8559419.aspx

就是HijackThis工具了

看这贴尝试清理和恢复吧
http://bbs.ikaka.com/showtopic-8665656.aspx

弄好了啊。到现在为止还看出复发。

天月姐。当时我就找到楼主的帖子。你的帖子好像还没出来。

今天我还悔恨自己在等等。用你那个专杀。多省事。哈哈哈。

另外，楼主是业内人士，自然讲的通畅，但是我只有基础知识，所以着实费了劲了。

不过从修改日期上来看，的确是能看出来做了修改。这毒没一定经验，不好处理。晕死。

学习了,没想到,今天遇上了..

:kaka12: 有猫叔和天月,这变态的病毒就好容易理解了..

baohe总版主你好，我想问下，

《〈〈〈2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。〉〉〉》

这句话中如果不用IceSword禁止进程创建，而是纯手动禁止进程怎么办呢？该如何操作呢？:kaka2:

第一次发帖问问题，不知道有没有表达清楚，不好意思

纯手工禁止？？还真不知道了。

你百度手工禁止进程试试

原来如此
我说么
学校电脑看到的全是快捷方式。。。

这个真没遇到过,不过,要是我的话,找到病毒直接删除(unlocker)就行了.

为什么我使用“自动化清楚脚本”之后啥对话框都没有？
是后台工作的？

就是没对话框的

在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下建立以exe文件名的项，在项下建立Debugger的字符串键，键值设置为DisabledRun

你没事回这句话干什么？？？

中了这个病毒，直接重装系统，但不重新分区，可以解决吗

不可以:kaka6:

谢谢

注册了一个号，就是为了来感谢天月！
谢啦！:kaka1:

:default54: :default58: 非常感谢楼主，这个解决方案很实用，赞！赞！赞！

同21楼一样，正是为了感谢楼主，特意注册了此号，我会经常光顾的。:default61: 多谢！多谢！

为什么我用清理工具后，所有磁盘的文件都不能显示了？并且查看属性的时候是有容量的。
如何处理？

希望给出解决方法，很着急

那我的清理工具那里没有显示隐藏文件的操作吗？？

你下载的哪里的工具呢？？

我今天进行到这一步也不知道是算成功了还是在进行中？
按步骤全部搞定之后，每次开机总会弹出一个记事本，是desktop.ini
内容是[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

每次开机都有，原来还有个快捷方式，让我给删了，确切的说叫粉碎了，但是文件依然存在，大侠们帮我解决啊~~~:kaka7:

谢谢版主支出的高招。一切问题迎刃而解。在此，衷心感谢！:kaka16:

昨天使用此招解决问题后，今儿发现桌面上的瑞星杀毒软件、迅雷、暴风影音等几个图标都变成了快捷方式，查看属性文件类型为快捷方式，但能正常使用。俺是电脑盲，请天月姐姐再支招。

瑞星杀毒软件、迅雷、暴风影音等几个图标原本就应该是快捷方式哟

难道你那和所有人不一样？？原本是单纯的程序？？不是快捷方式？？

不可能的吧:kaka6:

你以为什么叫快捷方式？？百度些知识去吧:kaka6: