【51CTO.com独家特稿】对于感染了病毒的操作系统,一般是采取两种方式,一种是重装系统;另外一种就是彻底清除病毒。对于前者如果在系统安装完毕后系统做了备份,那么也可以采取还原系统的方法,而后者相对难度大一些,还有一些安全风险。笔者因为老婆要换手机,到迪信通手机专卖店买了一部新的手机,手机买后送了一张手机存储卡,想从店里面的电脑中复制一些铃声,存储卡插入电脑后,电脑反映其慢无比,我一看估计是存在病毒,万一一不小心在手机中安装一个远程控制软件或者手机病毒之类的东西,那不暴露隐私了!职业习惯直接操刀上阵,三下五除二,很快就搞定。店长一看我操作熟练,就要了我的手机号码,后面也就有了这次手工清除病毒。现将整个病毒清除过程写出来跟大家一起探讨。
一、故障现象
还不到8点就被手机吵醒了,正在做美梦呢,心里还是有点烦,既然有人这么早打电话,肯定有急事!接听后才知道昌平迪信通手机专卖店业务专用计算机罢工了,其具体表现为,计算机启动后,速度其慢无比,打开任何一个程序都需要三四分钟;根本无法登陆业务系统,该计算机跟总部ERP系统相连,同时打印发票等都由该计算机负责,计算机通过CDMA上网卡连接互联网,店长非常着急,因此想到我了(呵呵,看看平时的积累很重要哦,有客户自动就会找上门来,哈哈)。我猜测是因为上次给迪信通的一台工作计算机安全加固和病毒清理效果较好,所以遇到问题后就想到我了,呵呵,有安全问题,哈哈,俺喜欢,这等好事还不快点!
二、初步诊断
到现场后,首先对计算机进行一个初步的诊断,并了解计算机出现问题的详细情况,通过询问工作人员,可以做出如下判断:
(1)计算机绝对是感染了病毒;
(2)计算机从来未做过安全加固,哪怕是简单的安全加固都没有;
(3)操作系统未做备份,重要业务系统均在系统盘;
(4)病毒可能是通过U盘和网络进行感染和传播的。
由于该系统未做任何备份,因此重装系统显然不可行,虽然重装系统是最为安全和便捷的方法,由于很多业务系统都是公司直接配发,重装系统后恢复业务系统比较困难,考虑到实际情况,只能进行手工杀毒。#p#
三、魔高一丈,道高一尺,艰难的杀毒过程
(一)清除部分病毒
1.制作干净病毒检测和清除工具盘
本次说是手工清除病毒,还是借助了一些工具,虽然手工清除也是可以的,不过既然有一些好用的工具软件,为什么还要舍近求远呢!首先准备一个可设置可读和可写的优盘,如果没有这种优盘,可以将工具软件刻录到光盘中。在本次病毒清理中,迪信通工作计算机是由公司统一配送,在配送时就拆除了计算机上面的光驱,且在店面中无多余光驱,因此只能使用优盘,在优盘中我准备以下几个软件:
(1)Autoruns:用来清理和查看注册表、自启动、服务等
(2)CurrPorts.exe:查看网络连接情况
(3)360安全卫士安装程序:清理恶意插件
(4)小红伞杀毒软件:查杀病毒
(5)冰刀IceSword:对疑难杂症进行治理
(6)ProcessExplorer:查看和终止进程
(7)一键Ghost:备份和还原操作系统
2.解决CMD不能运行问题
病毒已经修改了文件关联,可执行程序无法打开,CMD打开后马上就关闭,直接在“运行”中输入“command”,打开古老的DOS窗口,然后将U盘中的文件复制到D盘中,在复制过程中U盘病毒老是不停的读写U盘,由于U盘已经设置为只读,因此老是出现一个读写磁盘错误,通过任务管理器查看进程,发现其中有很多的可疑进程,选中可疑进程并结束该进程,出现无法结束或者结束后马上又启动了。看来病毒采取了一些保护措施,先不管这个,到工具目录直接运行autoruns程序。
说明:
(1)很多时候病毒会修改注册表,修改文件关联,在打开文件时老是出现一个选择打开文件的对话框,即使选择正确的可执行文件也无法执行,例如选择记事本程序打开txt文件,也会出错。出现这种情况一种办法就是恢复注册表,另外一种方法就是通过command命令来加载可执行程序进行清理,包括执行一些Dos命令。
(2)病毒一般会禁用CMD、注册表等可执行程序,这个时候就需要运行command命令来恢复系统中的注册表等。
3.使用 autoruns清理病毒
(1)清除Scheduled Tasks中的木马加载项
如图1所示,在autoruns主窗口中单击“Scheduled Tasks”,在其中可以看到有一个At1.job选项,它的描述显示的是“Microsoft Corporation”,其可执行文件路径为“C:\WINDOWS\system32\winhelp.exe”。一看就知道该加载选项是病毒,选中并直接删除该选项。
图1 |
图1 使用autoruns清除Scheduled Tasks中的木马加载项
说明:
(1)如果了解系统可执行文件的朋友知道winhelp文件主要存在“C:\WINDOWS”和“C:\WINDOWS\system32\dllcache”目录下,C:\WINDOWS\system32目录下绝对不会有winhelp.exe文件,如图2所示,在正常系统中查找winhelp.exe的结果。
图2 正常winhelp文件所在正确路径和文件大小
(2)通过实际经验判断,winhelp为u盘病毒,因此必须加以清除。
(2)安装一键Ghost软件
很多看到此文的朋友会问,为什么在这一步要安装一键Ghost软件,我要告诉大家这一步很简单,也很必要!现在很多病毒软件写的比较邪恶,对系统的感染程度非常深,一不小心,系统就会起不来,因此安装软件后,一定要及时和尽可能早的安装Ghost备份和还原软件。安装完毕后对系统做一个备份,然后再进行病毒的清理。以防止清理病毒失败或者意外情况时可以及时恢复系统。
(3)对系统做一个安全备份 安装Ghost软件后对系统做了一个备份,注意做备份一定是在系统重启后,且可以正常运行的情况下;否则就失去了做备份的意义。关于使用Ghost的一键备份,再次就不赘述了。
(4)清除可疑和病毒加载的服务
再次通过command命令启动autoruns程序,在autoruns主窗口中单击“Services”,如图3所示,可以看到有很多找不到文件的服务,有些名称跟正常的服务名称和文件非常类似,删除可疑服务和病毒加载的服务。建议无病毒清理经验的朋友先在正常的计算机上熟悉和了解一些正常的服务和程序,以免误删!在清理服务时虽然可以实行宁可错杀一千,不可放过一个的原则,但建议对服务文件所在路径进行验证,如果具备上网条件可以通过Google进行搜索,以验证该服务是否是正常文件的。
图3 |
图3 清除可疑服务和病毒加载的服务选项
(5)清除可疑的和病毒的驱动
在autoruns中单击“Drivers”,如图4所示,可以看到naivaf5x.sys和mvstdi5x.sys驱动无任何描述和Publisher,是明显的重点可疑对象,选中后直接删除。同时拖动滚动条,删除下边的可疑服务。删除服务后重启计算机,看看计算机能否正常启动,然后再做一下系统备份,这样虽然繁琐一些,但是可以逐步清除病毒,稳打稳扎,否则一切就从头做起!
图4 |
图4清除可疑和病毒驱动#p#
(6)删除U盘病毒的自保护病毒程序
如图5所示,在autoruns的“Everything”中可以看到启动中有“C:\WINDOWS\system32\regsvr.exe”选项,在正常系统中存在的文件是“C:\WINDOWS\system32\regsvr32.exe”而不是“regsvr.exe”文件,病毒就是借助文件名称来混淆正常文件。在清理病毒过程中我发现“regsvr.exe”和“winhelp.exe”是相互启动的,因此需要清除所有跟这两个文件有关的地方。
图5 |
图5 删除U盘病毒的自保护病毒程序
(7)删除随机ShellExecuteHooks下的病毒文件
“ShellExecuteHooks”下的文件在资源管理器里双击图标,运行程序或打开文件,都会激活这里的项目,“ShellExecuteHooks”也是木马病毒最喜欢的地方之一,据我了解在以前瑞星杀毒软件就不会查杀这个地方,如图6所示,可以看到有很多随机生成的病毒文件,我大致数了一下,有200多个,选中然后一个个的删除,注意删除的是随机生成的文件,这些文件跟正常文件有很大的区别。
图6 |
图6删除随机ShellExecuteHooks下的病毒文件
(8)清除Logon中的病毒加载选项
单击“Logon”,在Logon中同样发现了“C:\WINDOWS\system32\regsvr32.exe”,选中并删除它,如图7所示。
图7 |
图7 清除Logon中的病毒加载选项#p#
4.清除物理位置的病毒文件
在前面我们清除了系统启动、Scheduled Tasks、ShellExecuteHooks、Drivers、Services下面的可疑程序和病毒,这些清除只是在注册表中的清除,清除这些选项是为了防止或者禁止病毒在启动时加载。因此要实际清除病毒,还需要手动清除物理位置的病毒,如图8所示,可以在回收站中看到一些被删除的文件。
图8 |
图8 删除实际的病毒文件
5.使用360安全卫士卸载无关软件
如图9所示,打开360安全卫生的软件管理,然后单击“软件卸载”,卸载一些跟业务系统无关的程序,在该计算机上安装有瑞星杀毒软件,但该杀毒软件根本没有起到应有的杀毒和防范作用,反而占用系统资源,将其卸载掉。
图9 |
图9 卸载无关应用程序
说明: 在本次清理病毒过程中,我尝试使用“控制面板”中的“添加/删除程序”来卸载一些无用程序,无奈速度太慢,且容易出问题,因此使用第三方软件提供的“卸载软件”也不失为一种卸载软件的良方!
6.简单加固系统
在每一个盘下面新建一个“autorun.inf”文件夹,同时在运行中输入“gpedit.msc”打开组策略编辑器,单击“用户配置”-“系统”-“关闭自动播放”,打开关闭自动播放属性设置窗口,在其中选择“已启用”,在关闭自动播放中选择“所有驱动器”,如图10所示,单击确定使设置生效,防止光盘和驱动器自动启动和播放。
图10 |
图10 禁止驱动器自动播放
7.重启系统、验证并做系统备份
至此,已经对系统中的部分病毒进行了清理、清除,同时卸载了系统中的一些无关应用程序。重启系统后看看系统是否能够正常使用,一切OK后,重新对系统做一次备份。这个时候系统已经能够正常使用,速度较未清理前已经有了很大的提高。#p#
(二)继续修复系统
1.删除“无法”删除的文件
在清除病毒过程中,可能会遇到一些顽固的病毒,如图11所示,在系统的com文件夹下面存在一个mfc42.dll文件夹,很明显这个文件夹有问题,无法浏览也无法打开,使用正常的文件删除步骤根本无法删除。即使使用winrar的压缩后删除原文件也无法删除。这个时候就可以使用冰刀的强制文件删除功能,将其删除。冰刀(IceSword)中有一个非常好用的功能——强制文件删除,方法就是使用IceSword浏览磁盘中的文件,找到需要删除的文件夹或者文件,选中需要删除的文件或者文件夹,然后右键单击,选择“强制删除”即可强制删除一些无法删除的文件或者文件夹。
图11 |
图11 删除无法删除的文件夹和文件
2.无法升级病毒库
对病毒清理后,需要对系统漏洞已经恶意插件进行清理,在本例中主要使用360安全卫士来进行检测,再连接网络后发现无法升级特征库,看来病毒修改了Hosts文件,直接到系统的“C:\WINDOWS\system32\drivers\etc”目录,打开Hosts文件,如图12所示,果然病毒已经修改了Hosts文件,在hosts文件中,第5到7行是迪信通公司的erp、db、txt服务器对应的IP地址和域名。而后面的内容显示病毒已经将目前所有的杀毒软件和安全检测软件的网站以及病毒库升级地址全部指向病毒设定的IP地址,致使安全检测和杀毒软件无法升级病毒库,让病毒一直逍遥“法”外。在检测过程中,发现病毒还特别好心的将原来的Hosts文件打包压缩了。直接解压缩恢复原来的Hosts文件,就可以升级360安全卫士的特征库。
图12 |
图12病毒修改了Hosts文件
3.使用安全360卫士进行安全检测
打开360安全卫士,然后单击“清理恶评插件”,对检测出来的恶意插件和病毒进行清除,扫描出来的结果表明,系统主要是由于Ms08067漏洞补丁为修补,在上网时访问了存在木马病毒的网页,从而导致系统出现缓慢等原因。根据360安全卫士检测的提示,清除该病毒需要下载顽固木马专杀工具,将该工具下载到本地,然后进行查杀,如图13所示,果然检测出来两个病毒,将其清除。
图13 |
图13 使用360顽固木马专杀大全查杀病毒#p#
4.木马病毒疯狂下载病毒
(1)找到木马病毒下载者
根据感觉,估计该木马病毒会自动从木马网站下载病毒,直接到Temporary Internet Files文件夹,如图14所示,木马病毒下载聊15个新的病毒文件,其下载地址为“http://www.down008867.com/mtv/”文件名称依次按照Xpn进行命名。在该文件夹中还存在一个读取地址的文件sl.txt,该文件自动木马病毒知道下载的地址。
图14 |
图14木马病毒疯狂下载病毒
(2)清除木马下载者
直接删除“Temporary Internet Files”下的所有文件,同时在系统目录中发现“ilobbyupdater117.exe”木马下载者文件。最后再使用360卫士看了一些系统的进程,如图15所示,确认无可疑进程运行。
图15 |
图15查看系统进程
5.修补系统漏洞
使用安全360卫士扫描和修补系统中存在的漏洞,最后使用其高级工具中的进程查看器查看其进程、服务以及网络连接等,在确认系统正常后,重新对系统做一次备份。
四、总结
本次手工清除病毒对我来讲,是一种挑战,是运用多种方法和技术来清除病毒和加固系统的一次实战。个人感觉还是有很多收获,主要有以下几点: 1.在清除病毒过程中一定要切记随时做好系统的备份!我在开始清除病毒时,由于未对系统进行备份,导致系统启动后,无桌面,看似系统正常启动,而实际上关键进程都被病毒劫持了。后面每前进一小步都对系统进行备份,然后再次寻找突破点和清除病毒。
2.如果系统的一些关键进程被劫持,则优先考虑使用一些专用杀毒软件来解决,这样效率高,且不容易出现问题。
3.使用autoruns、icesword、CurrPorts、360安全卫士安装程序、ProcessExplorer以及一键Ghost等普通软件可以清除绝大部分病毒。
4.在清理病毒时要注意可执行文件名称和大小,这个需要平时的经验积累。
解决问题后,感觉非常好,由于解决病毒有一段时间了,当时急于解决问题,抓到图也不太多,因此可能有些地方描述不太清除,不到之处,请批评指正,欢迎来我的论坛(bbs.antian365.com)进行讨论。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】