我们一起来看看这个流氓吧,可花了我几个小时的时间啊.
1.病毒运行后,会释放以下文件:
%system32%\Com\SMSS.EXE
%system32%\Com\lsass.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
各盘符下隐藏的autorun.inf,pagefile.pif(这个autorun.inf较特殊,后面讲),如果不注意,即使你重装系统也没用。
2.症状:
(1)禁用了文件选项的显示隐藏文件
(2)该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截,诸多安全工具无法打开,如Icesword,Arswp,360,瑞星和它的防火墙脚等等
(3)破坏安全模式,进入就蓝屏,该病毒会不断修改注册表,使一些安全工具无法修复安全模式
(4)病毒删除注册表中的RUN项
(5)启动IE连接恶意站点下载恶意脚本
(6)利用%system32%\drivers\alg.exe对局域网实行arp攻击
3.我的手工清除方法
清除此毒就别指望杀毒软件能帮你了,rising,kaba都是不可用的,卡卡助手几乎没用,还是手动吧。
因为该病毒比较强悍,我比较喜欢用的经典工具icesword每打开就会被病毒强行关闭,于是我下载一些其它的进程管理工具,尝试去结束%system32%\Com\SMSS.EXE %system32%\Com\lsass.EXE %system32%\drivers\alg.exe,结果是令人失望的,结束后病毒很快再生,并在C盘D盘下产生大量垃圾进程,有时候还会将计算机强行关闭,我认为此病毒在windows下清除是非常难的,安全模式也被病毒破坏,这招也不行,于是想到如下办法:
一、我各盘符均为NTFS,于是下载支持NTFS格式的dos(比如矮人,Maxdos等),进入后用attrib命令去掉各病毒文件的只读、隐藏、系统属性。
attirb -s -h -r c:\windows\system32\com\lsass.exe
attirb -s -h -r c:\windows\system32\com\netcfg.dll
attirb -s -h -r c:\windows\system32\com\netcfg.000
attirb -s -h -r c:\Docume~1\用户名\「开始」菜单\程序\启动\~.exe
attirb -s -h -r c:\windows\system32\drivers\alg.exe
attirb -s -h -r c:\windows\system32\dnsq.dll
attirb -s -h -r X:\autorun.inf (注意:X盘为你的每一个盘符)
attirb -s -h -r X:\pagefile.pif
显示出来后再将它们全部del掉,如果有一处没有del掉的话,那么你重新启动计算机后病毒又会死灰复燃,所以一定要仔细了。
二、由于我在用方法一的时候不仔细,漏del了c:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe这个程序,其实这是最明显的一个地方,我确漏了,导致每次开机后症状依旧,想了很久也没想到病毒是到底如何启动的,呵呵,于是想到方法二,就是用winPE(深山红叶工具箱),此工具就是从模拟winXP系统,绕过了原系统,非常不错,进入后先清除方法一中的病毒文件,然后估计电脑大概中毒时间搜索C盘在这一时间内创建的.exe .dll .sys文件,才找出了c:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe这个原本最明显的文件,^_^,完毕后重启,再试一下icesword,arswp,rising,360均能正常运行了,最后用arswp或者360打扫一下注册表中的垃圾文件,修复安全模式,修复安全模式的方法可以从网上下载注册表导入,也可以找一些专业工具,baidu上可以搜到,此次清理总算结束。
补充:我来说说这个特殊的Autorun.inf,为什么说它特殊,因为它和传统的Autorun.inf不同,在盘符上右击看不出任何蛛丝马迹,迷惑性较大,来看看内容。
[autorun]
OPEN=pagefile.pif
shellopen=打开(&O)
shellopenCommand=pagefile.pif
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=pagefile.pif
这样写的作用就是当你双击盘符时会运行 pagefile.pif ,右键选择“打开”还是“资源管理器”病毒也会运行,强吧,所以各位手工杀毒爱好者今后一定要注意了。别以为右键打开盘符就没事了,呵呵。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ ; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59 from: http://bsalsa.com/ )
