(续1)
从pe_xscan的log上看,恶意程序不仅使用了与Windows系统文件相同的文件名(如C:/Program Files/svchost.exe),这样运行时可以在任务管理器中迷惑用户,而且还替换了许多系统文件(log中以紫色标记,如C:/WINDOWS/system32/GDI32.dll),而使用映像劫持技术(IEFO)来阻止系统安全防护软件的运行,则不是什么新鲜的技术了。
由于鬼影病毒会修改硬盘主引导记录,需要修复,Google下载DrWeb CureIt!到U盘备用。现在的DrWeb CureIt!体积居然接近50MB了,记得以前刚开始用它时文件还不到5MB呢。
到http://purpleendurer.ys168.com下载了 bat_do、FileInfo、IEFO_Man,也放到U盘备用。
用Win PE光盘启动电脑,寻找可疑文件,用FileInfo提取文件信息,用bat_do打包备份。
用WinRAR检查并删除各盘下的伪装成文件夹的EXE文件。
把DrWeb CureIt!拷到F盘运行,不料DrWeb CureIt!强出来个对话框,没仔细看就点了确定按钮,结果屏幕被锁定,四个角显示“Dr.Web CureIT!加强模式”(看起来与Windows系统的“安全模式”相似),无法操作,按Alt+F4后桌面空白,按Ctrl+Alt+Del也没反应,只好重启电脑。
后来Google了一下,原来新版Dr.Web CureIT!新增“加强模式”,用户双击启动该软件时,会弹出提示窗口,点击“确定”按钮就会以“加强模式”来工作。在“加强模式”下除了Dr.Web CureIT!可以运行外,其它应用程序都将被锁定而无法运行,这样可以彻底地查杀更多的顽固病毒程序。
更多介绍可以参考:免费强悍大蜘蛛绿色版:Dr.Web CureIt!
http://news.newhua.com/news/2010/0925/103083.shtml
挺久没用DrWeb CureIt!这个软件了,不想被它撞了一下腰。
重启电脑从硬盘启动,果然出问题了:
电脑蓝屏!
出错信息为:Stop:c0000135 unknown Hard Error
估计与Windows系统被恶意程序替换有关。
重启电脑,选择以最后一次正确的配置来启动或以安全模式来启动,都不行。
手动恢复Windows系统文件太麻烦,朋友电脑中的C盘也没有什么需要保留的文件,于是一键还原。
一键还原并不能清除隐藏在硬盘主引导记录中的鬼影病毒,所以进入桌面后,鬼影病毒发作的症状再次上演:桌面有淘宝等图标;有名为nat.exe的命令提示符窗口一闪而过……
病毒还会从网上下载文件,所以在修复时最好断开网线。
运行F盘上的DrWeb CureIt!,选择常规模式扫描。
然后打开IEFO_Man,手工为nat.exe等恶意程序文件添加IEFO,以其人之道还治其人之身,阻止它们运行。
DrWeb CureIt!自动扫描结果如下:
DrWeb CureIt!检测到了隐藏在硬盘主引导记录中的鬼影病毒。
按提示重启电脑,接上网线,下载、安装金山安全套装,查杀病毒,检修系统。
发现金山卫士-网盾-浏览器设置-IE首页锁定功能不生效,把IE守护者卸载了才搞定。