杀毒记

前两天想下个13张的麻将游戏,看见exe就乱点,然后就中招了。。。
我点完exe后看见良久不显示安装界面,只听见硬盘狂响,方知出事了。赶紧停止。然后简单的处理了一下,也没咋搭理。
后来诺顿频频报告Downloader病毒,msnhost.dll。却又无法给出进一步的信息。算了,反正很少用win,就懒得管。
然后今天上网的时候,打开某个网页,再打开IE的时候,惊奇的发现被装了工具条。无法在IE的"管理加载项"里面禁用。无法从注册表删除。它的程序文件一旦被删除就会立即冒出来。
然后我换安全模式,用诺顿扫一趟,无果,一无所获。
然后装AVG,就是以前的 ewido,能发现工具条,但是无法清除,相反,AVG自身会被杀掉。这多少让我有些爆汗,ewido都杀不掉的流氓软件,看来真是非同小可。
那个工具条的程序文件一旦被删除就会立即冒出来,于是我的首要问题是找出,哪个后台进程在监视和创建这个文件。于是我从微软的网站下了Filemon,监视该文件的所有举动。无果。只能检测到我的删除,检测不到是谁创建的。
我一下子陷入了沉闷。这是为什么?tasklist中的进程屈指可数,服务列表里面的东西我也是了若指掌,绝对没有可疑的东西。于是我将所有的猜测集中到一点,驱动。该病毒肯定是以驱动的方式加载(即使在控制台模式的安全模式下也自动加载),以ring0的特权等级在内核态下运行。
然后我就进drivers目录,把文件按最后修改日期排列。(可惜不能按创建时间排序)
在该目录的末尾发现几个文件是新近才有的。立即删除,重起。发现问题依旧。而且,被删除的驱动又被恢复了。这更证明了我的猜测。系统的sfc我是尽最大努力禁掉了的,dllcache目录也是删除了的。系统文件一旦被删除是不可能再被sfc恢复的。那么,就只能说明它是病毒了。
怎么办?
可惜手上现有的软件都不足以处理驱动加载列表。后来想起来我以前在处理D-Tools
4的时候用过一个叫做ServiWin.exe的软件可以做到这点。翻箱倒柜,找不着,然后重新下。然后进安全模式,打开它,
找到那两个被我删除的驱动的文件名,atmsig.sys,parcls.sys,用ServiWin停止掉。
然后去删除工具条的程序文件,修改注册表,一切OK。
Oh I know,这个病毒果真是和3721一样以驱动方式加载的。
但是重起后,问题依旧。
然后我想到一个问题,文件的时间未必是真正的时间。这个用stat系的函数是很容易修改的。然后重新进安全模式,打开ServiWin,数百个驱动,一条条的看,看哪个可疑。还好,大部分都是由公司名称的。我把目光集中在自动加载,已运行,且无公司名称,且有文件路径的(以系统方式加载的驱动大部分都没有路径)驱动上。迅速找到一个很可疑的东西。
C:\WINDOWS\system32\drivers\LanPort.sys
不留神,还真把它当局域网的串/并口驱动了呢。停止。
然后做清理
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下多余的键值
在我的机器山,是{B876D045-E0B1-4E79-9359-0B1BF00813EA},Media Filter
然后在注册表里面搜{B876D045-E0B1-4E79-9359-0B1BF00813EA}这个ID,统统清理。
然后删除C:\WINDOWS\system32\419entos.dll,就是那个死活删不掉的toolbar的文件。不过为什么只有5字节?
然后删除C:\WINDOWS\system32\filter.dll,就是{B876D045-E0B1-4E79-9359-0B1BF00813EA}对应的那个dll.
然后用ewido删除toolbar.(它要比我自己手动删,删的干净)
然后继续清理其它的.
然后最重要的,可能很多人经常忘的,关闭并清理系统还原点,再次检查dllcache目录是不是空的(不是就删干净),然后把Prefech目录清空。
然后反复的启动几次,确认没有问题了。
总结一下:
系统加载的时候会加载C:\WINDOWS\system32\drivers\LanPort.sys这个驱动。该驱动会在drivers目录下自动创建几个驱动文件并加载。然后自己停止掉,隐藏起来。然后这些被它创建的驱动,负责监视注册表的改动,监视所有可执行文件的执行,保护程序文件不被删除。然后负责干掉ewido等。诺顿拿它无能为力是因为毕竟诺顿是在用户态下(user
mode)运行,而该病毒是在kernel mode。真所谓,道高一尺,魔高一丈。
然后该驱动负责在Program
files目录下的Messager目录下创建一些文件,伪装成windows自带的Messager.exe及相关文件的样子,然后从网上某个站点不定期下载新的病毒下来执行。
如果LanPort.sys创建的驱动加载失败,那么LanPort.sys就会亲自上阵,自己来监视注册表和文件。狐狸尾巴一露出来,末日也就到了。
附带说下,探测驱动的时候,发现qq的负责监视键盘输入的驱动。
QQ:INCA Internet Co., Ltd. ?D:\QQ\npkcrypt.sys,上面的公司信息居然是INCA Internet
Co., Ltd。这是什么公司?莫非又是一个幕后黑手在暗中帮着tencent?
另外,对于Daemon Tools 4的sptd.sys,网上多有非议。只能说,尽量不要使用Daemon Tools。另外,Daemon
Tools对最新版的Sony的SecuRom已经无效了。

此博客中的热门博文

少写代码,多读别人写的代码

在windows下使用llvm+clang

tensorflow distributed runtime初窥