ghost之后仍然中病毒----与病毒的斗争
我的电脑系统是XP,从来都没有安装任何杀毒软件,所有的软件都是安装在C盘的,感觉系统卡顿就用Windows一键还原(基于DOS下的ghost)还原一下,一直这样挺好的。
2017年春节后,突然发现就是用ghost还原之后,也不行了,系统很快又中病毒,具体表现为:
1、排除了备份的gho系统中毒,因为这个gho系统用了两年多了一直没问题。
2、ghost后仍然中病毒,怀疑是不是鬼影病毒、机器狗、威金病毒,用diskgenius重建MBR,并且清除保留扇区,恢复后无果证明不是鬼影。搜索了C盘隐藏文件没有pcihdd.sys文件,也不是机器狗。搜索威金病毒感染标志_desktop.ini文件,也没有,证明不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件内容:
127.0.0.1 ZieF.pl
恢复后修改为127.0.0.1 localhost,仍然感染。
3、开始运行cmd,有时无法输入任何字符。
4、感染后,用msconfig查看非Microsoft系统服务,里面增加了Volume shadow copy和Application L??? G???(名字记不清,不是微软的Application Layer Gateway Service)服务,应该是病毒的服务。
5、搜狗浏览器高速模式无法打开任何网页,IE兼容模式可以打开,有个黑色的似乎是cmd窗口一闪而过,网页排版混乱有空格。
6、smart install maker打包生成exe文件后,无法正常打开,提示不是标准的win32程序。
7、用SREng扫描,打开的时候就提示入口点错误,修复后再次打开,仍然有提示。
SREng扫描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口点错误:NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:NtCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:NtCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:NtQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
入口点错误:ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x7FF93F86)
入口点错误:ZwCreateProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94015)
入口点错误:ZwCreateProcessEx (危险等级: 高, 被下面模块所HOOK: 0x7FF94022)
入口点错误:ZwOpenFile (危险等级: 高, 被下面模块所HOOK: 0x7FF9400B)
入口点错误:ZwQueryInformationProcess (危险等级: 高, 被下面模块所HOOK: 0x7FF94063)
==================================
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在运行的进程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
8、用Windows清理助手ArSwp3标准扫描,发现C:\WINDOWS\及C:\WINDOWS\system32\下的系统文件被修改,好几个是核心文件:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示,从备份的C盘的gho文件中提取上述文件,放到F:\bak\arswp3\sif目录下,然后进行清理,ArSwp3清理后自动重启,并把上述文件恢复到系统中,但系统仍然是中毒状态,仍然有前面的各种中毒表现。
C:\WINDOWS\system32\dllcache\下面对应的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
由于ArSwp3认定notepad.EXE和regedit.exe被感染,直接删除,导致记事本和注册表编辑器运行不了。
9、把一个病毒样本上传到http://virscan.org/进行云鉴定,发现61%的杀毒引擎认为有病毒,国内的引擎除360杀毒和百度杀毒外,江民杀毒、金山毒霸、瑞星、安天、费尔、熊猫卫士(总部欧洲)、趋势科技(总部美日)、安博士V3(总部韩国)都认为是病毒。
金山毒霸最新版病毒库,扫描文件总数:194881,只查杀了大约50个病毒,恢复后无果。
在官网下载瑞星杀毒V17,根本安装不上;
安天主要是网络安全产品,未尝试;
费尔是收费的未测试;
卡巴斯基太卡不爽未测试。
下载了江民杀毒速智及离线升级包update.exe,可以试用一个月。
10、安装好江民杀毒速智和离线升级包,打开电脑里面的文件,马上提示系统文件有病毒,于是利用晚上的时间进行全盘扫描,查杀了2000多个Win32/virut.bn病毒,杀毒后自动重启,第二天起来看看,sim编译打包的exe文件仍然无法运行,证明系统还是有病毒,于是再次用ghost恢复到干净的系统,恢复的时候,江民再次提示C:\WGHO\GRUB等目录的文件被感染并杀掉,恢复完毕,再次sim编译打包的exe就可以运行了,搜狗浏览器高速模式也正常,至此,问题解决。
从以上与该病毒的斗争中发现,C盘虽然恢复后没有病毒了,但是因为其他盘符里面的exe文件已被感染,再次运行染毒文件,C盘的很多系统文件就会很快地被感染,而且病毒驻留内存,伺机感染打开的文件,造成许多程序运行异常,该病毒感染速度极快,东方微点主动防御无法预防,免费的金山毒霸无法全杀,自从金山毒霸免费后,感觉越来越不行了!最后用江民杀毒全盘杀毒,而且还恢复了一次才算彻底解决!在此向江民杀毒表示忠心感谢!如果杀毒软件不能彻底杀灭非系统盘病毒,即使恢复C盘,重启后病毒仍然会死灰复燃,主动防御类新概念防毒软件根本无法彻底杀灭病毒,其本质其实是永远被动地防御病毒的入侵,根本防御不了,无法造就一个彻底干净的系统环境。因此,基于文件感染型的病毒,还是老老实实地用老版的特征码杀毒软件进行杀灭吧,查杀后才会有一个彻底干净的系统,推荐在RAMOS中安装杀毒软件,利用晚上的时间进行全盘查杀,然后进入PE进行恢复,不要用备份在硬盘上的ghost.exe来恢复,因为备份的ghost.exe可能有病毒。
