對迪信通手機連鎖店電腦的一次手工殺毒
原創【51CTO.com獨家特稿】對于感染了病毒的操作系統,一般是采取兩種方式,一種是重裝系統;另外一種就是徹底清除病毒。對于前者如果在系統安裝完畢后系統做了備份,那么也可以采取還原系統的方法,而后者相對難度大一些,還有一些安全風險。筆者因為老婆要換手機,到迪信通手機專賣店買了一部新的手機,手機買后送了一張手機存儲卡,想從店里面的電腦中復制一些鈴聲,存儲卡插入電腦后,電腦反映其慢無比,我一看估計是存在病毒,萬一一不小心在手機中安裝一個遠程控制軟件或者手機病毒之類的東西,那不暴露隱私了!職業習慣直接操刀上陣,三下五除二,很快就搞定。店長一看我操作熟練,就要了我的手機號碼,后面也就有了這次手工清除病毒。現將整個病毒清除過程寫出來跟大家一起探討。
一、故障現象
還不到8點就被手機吵醒了,正在做美夢呢,心里還是有點煩,既然有人這么早打電話,肯定有急事!接聽后才知道昌平迪信通手機專賣店業務專用計算機罷工了,其具體表現為,計算機啟動后,速度其慢無比,打開任何一個程序都需要三四分鐘;根本無法登陸業務系統,該計算機跟總部ERP系統相連,同時打印發票等都由該計算機負責,計算機通過CDMA上網卡連接互聯網,店長非常著急,因此想到我了(呵呵,看看平時的積累很重要哦,有客戶自動就會找上門來,哈哈)。我猜測是因為上次給迪信通的一臺工作計算機安全加固和病毒清理效果較好,所以遇到問題后就想到我了,呵呵,有安全問題,哈哈,俺喜歡,這等好事還不快點!
二、初步診斷
到現場后,首先對計算機進行一個初步的診斷,并了解計算機出現問題的詳細情況,通過詢問工作人員,可以做出如下判斷:
(1)計算機絕對是感染了病毒;
(2)計算機從來未做過安全加固,哪怕是簡單的安全加固都沒有;
(3)操作系統未做備份,重要業務系統均在系統盤;
(4)病毒可能是通過U盤和網絡進行感染和傳播的。
由于該系統未做任何備份,因此重裝系統顯然不可行,雖然重裝系統是最為安全和便捷的方法,由于很多業務系統都是公司直接配發,重裝系統后恢復業務系統比較困難,考慮到實際情況,只能進行手工殺毒。#p#
三、魔高一丈,道高一尺,艱難的殺毒過程
(一)清除部分病毒
1.制作干凈病毒檢測和清除工具盤
本次說是手工清除病毒,還是借助了一些工具,雖然手工清除也是可以的,不過既然有一些好用的工具軟件,為什么還要舍近求遠呢!首先準備一個可設置可讀和可寫的優盤,如果沒有這種優盤,可以將工具軟件刻錄到光盤中。在本次病毒清理中,迪信通工作計算機是由公司統一配送,在配送時就拆除了計算機上面的光驅,且在店面中無多余光驅,因此只能使用優盤,在優盤中我準備以下幾個軟件:
(1)Autoruns:用來清理和查看注冊表、自啟動、服務等
(2)CurrPorts.exe:查看網絡連接情況
(3)360安全衛士安裝程序:清理惡意插件
(4)小紅傘殺毒軟件:查殺病毒
(5)冰刀IceSword:對疑難雜癥進行治理
(6)ProcessExplorer:查看和終止進程
(7)一鍵Ghost:備份和還原操作系統
2.解決CMD不能運行問題
病毒已經修改了文件關聯,可執行程序無法打開,CMD打開后馬上就關閉,直接在“運行”中輸入“command”,打開古老的DOS窗口,然后將U盤中的文件復制到D盤中,在復制過程中U盤病毒老是不停的讀寫U盤,由于U盤已經設置為只讀,因此老是出現一個讀寫磁盤錯誤,通過任務管理器查看進程,發現其中有很多的可疑進程,選中可疑進程并結束該進程,出現無法結束或者結束后馬上又啟動了。看來病毒采取了一些保護措施,先不管這個,到工具目錄直接運行autoruns程序。
說明:
(1)很多時候病毒會修改注冊表,修改文件關聯,在打開文件時老是出現一個選擇打開文件的對話框,即使選擇正確的可執行文件也無法執行,例如選擇記事本程序打開txt文件,也會出錯。出現這種情況一種辦法就是恢復注冊表,另外一種方法就是通過command命令來加載可執行程序進行清理,包括執行一些Dos命令。
(2)病毒一般會禁用CMD、注冊表等可執行程序,這個時候就需要運行command命令來恢復系統中的注冊表等。
3.使用 autoruns清理病毒
(1)清除Scheduled Tasks中的木馬加載項
如圖1所示,在autoruns主窗口中單擊“Scheduled Tasks”,在其中可以看到有一個At1.job選項,它的描述顯示的是“Microsoft Corporation”,其可執行文件路徑為“C:\WINDOWS\system32\winhelp.exe”。一看就知道該加載選項是病毒,選中并直接刪除該選項。
 |
| 圖1 |
圖1 使用autoruns清除Scheduled Tasks中的木馬加載項
說明:
(1)如果了解系統可執行文件的朋友知道winhelp文件主要存在“C:\WINDOWS”和“C:\WINDOWS\system32\dllcache”目錄下,C:\WINDOWS\system32目錄下絕對不會有winhelp.exe文件,如圖2所示,在正常系統中查找winhelp.exe的結果。
圖2 正常winhelp文件所在正確路徑和文件大小
(2)通過實際經驗判斷,winhelp為u盤病毒,因此必須加以清除。
(2)安裝一鍵Ghost軟件
很多看到此文的朋友會問,為什么在這一步要安裝一鍵Ghost軟件,我要告訴大家這一步很簡單,也很必要!現在很多病毒軟件寫的比較邪惡,對系統的感染程度非常深,一不小心,系統就會起不來,因此安裝軟件后,一定要及時和盡可能早的安裝Ghost備份和還原軟件。安裝完畢后對系統做一個備份,然后再進行病毒的清理。以防止清理病毒失敗或者意外情況時可以及時恢復系統。
(3)對系統做一個安全備份 安裝Ghost軟件后對系統做了一個備份,注意做備份一定是在系統重啟后,且可以正常運行的情況下;否則就失去了做備份的意義。關于使用Ghost的一鍵備份,再次就不贅述了。
(4)清除可疑和病毒加載的服務
再次通過command命令啟動autoruns程序,在autoruns主窗口中單擊“Services”,如圖3所示,可以看到有很多找不到文件的服務,有些名稱跟正常的服務名稱和文件非常類似,刪除可疑服務和病毒加載的服務。建議無病毒清理經驗的朋友先在正常的計算機上熟悉和了解一些正常的服務和程序,以免誤刪!在清理服務時雖然可以實行寧可錯殺一千,不可放過一個的原則,但建議對服務文件所在路徑進行驗證,如果具備上網條件可以通過Google進行搜索,以驗證該服務是否是正常文件的。
 |
| 圖3 |
圖3 清除可疑服務和病毒加載的服務選項
(5)清除可疑的和病毒的驅動
在autoruns中單擊“Drivers”,如圖4所示,可以看到naivaf5x.sys和mvstdi5x.sys驅動無任何描述和Publisher,是明顯的重點可疑對象,選中后直接刪除。同時拖動滾動條,刪除下邊的可疑服務。刪除服務后重啟計算機,看看計算機能否正常啟動,然后再做一下系統備份,這樣雖然繁瑣一些,但是可以逐步清除病毒,穩打穩扎,否則一切就從頭做起!
 |
| 圖4 |
圖4清除可疑和病毒驅動#p#
(6)刪除U盤病毒的自保護病毒程序
如圖5所示,在autoruns的“Everything”中可以看到啟動中有“C:\WINDOWS\system32\regsvr.exe”選項,在正常系統中存在的文件是“C:\WINDOWS\system32\regsvr32.exe”而不是“regsvr.exe”文件,病毒就是借助文件名稱來混淆正常文件。在清理病毒過程中我發現“regsvr.exe”和“winhelp.exe”是相互啟動的,因此需要清除所有跟這兩個文件有關的地方。
 |
| 圖5 |
圖5 刪除U盤病毒的自保護病毒程序
(7)刪除隨機ShellExecuteHooks下的病毒文件
“ShellExecuteHooks”下的文件在資源管理器里雙擊圖標,運行程序或打開文件,都會激活這里的項目,“ShellExecuteHooks”也是木馬病毒最喜歡的地方之一,據我了解在以前瑞星殺毒軟件就不會查殺這個地方,如圖6所示,可以看到有很多隨機生成的病毒文件,我大致數了一下,有200多個,選中然后一個個的刪除,注意刪除的是隨機生成的文件,這些文件跟正常文件有很大的區別。
 |
| 圖6 |
圖6刪除隨機ShellExecuteHooks下的病毒文件
(8)清除Logon中的病毒加載選項
單擊“Logon”,在Logon中同樣發現了“C:\WINDOWS\system32\regsvr32.exe”,選中并刪除它,如圖7所示。
 |
| 圖7 |
圖7 清除Logon中的病毒加載選項#p#
4.清除物理位置的病毒文件
在前面我們清除了系統啟動、Scheduled Tasks、ShellExecuteHooks、Drivers、Services下面的可疑程序和病毒,這些清除只是在注冊表中的清除,清除這些選項是為了防止或者禁止病毒在啟動時加載。因此要實際清除病毒,還需要手動清除物理位置的病毒,如圖8所示,可以在回收站中看到一些被刪除的文件。
 |
| 圖8 |
圖8 刪除實際的病毒文件
5.使用360安全衛士卸載無關軟件
如圖9所示,打開360安全衛生的軟件管理,然后單擊“軟件卸載”,卸載一些跟業務系統無關的程序,在該計算機上安裝有瑞星殺毒軟件,但該殺毒軟件根本沒有起到應有的殺毒和防范作用,反而占用系統資源,將其卸載掉。
 |
| 圖9 |
圖9 卸載無關應用程序
說明: 在本次清理病毒過程中,我嘗試使用“控制面板”中的“添加/刪除程序”來卸載一些無用程序,無奈速度太慢,且容易出問題,因此使用第三方軟件提供的“卸載軟件”也不失為一種卸載軟件的良方!
6.簡單加固系統
在每一個盤下面新建一個“autorun.inf”文件夾,同時在運行中輸入“gpedit.msc”打開組策略編輯器,單擊“用戶配置”-“系統”-“關閉自動播放”,打開關閉自動播放屬性設置窗口,在其中選擇“已啟用”,在關閉自動播放中選擇“所有驅動器”,如圖10所示,單擊確定使設置生效,防止光盤和驅動器自動啟動和播放。
 |
| 圖10 |
圖10 禁止驅動器自動播放
7.重啟系統、驗證并做系統備份
至此,已經對系統中的部分病毒進行了清理、清除,同時卸載了系統中的一些無關應用程序。重啟系統后看看系統是否能夠正常使用,一切OK后,重新對系統做一次備份。這個時候系統已經能夠正常使用,速度較未清理前已經有了很大的提高。#p#
(二)繼續修復系統
1.刪除“無法”刪除的文件
在清除病毒過程中,可能會遇到一些頑固的病毒,如圖11所示,在系統的com文件夾下面存在一個mfc42.dll文件夾,很明顯這個文件夾有問題,無法瀏覽也無法打開,使用正常的文件刪除步驟根本無法刪除。即使使用winrar的壓縮后刪除原文件也無法刪除。這個時候就可以使用冰刀的強制文件刪除功能,將其刪除。冰刀(IceSword)中有一個非常好用的功能——強制文件刪除,方法就是使用IceSword瀏覽磁盤中的文件,找到需要刪除的文件夾或者文件,選中需要刪除的文件或者文件夾,然后右鍵單擊,選擇“強制刪除”即可強制刪除一些無法刪除的文件或者文件夾。
 |
| 圖11 |
圖11 刪除無法刪除的文件夾和文件
2.無法升級病毒庫
對病毒清理后,需要對系統漏洞已經惡意插件進行清理,在本例中主要使用360安全衛士來進行檢測,再連接網絡后發現無法升級特征庫,看來病毒修改了Hosts文件,直接到系統的“C:\WINDOWS\system32\drivers\etc”目錄,打開Hosts文件,如圖12所示,果然病毒已經修改了Hosts文件,在hosts文件中,第5到7行是迪信通公司的erp、db、txt服務器對應的IP地址和域名。而后面的內容顯示病毒已經將目前所有的殺毒軟件和安全檢測軟件的網站以及病毒庫升級地址全部指向病毒設定的IP地址,致使安全檢測和殺毒軟件無法升級病毒庫,讓病毒一直逍遙“法”外。在檢測過程中,發現病毒還特別好心的將原來的Hosts文件打包壓縮了。直接解壓縮恢復原來的Hosts文件,就可以升級360安全衛士的特征庫。
 |
| 圖12 |
圖12病毒修改了Hosts文件
3.使用安全360衛士進行安全檢測
打開360安全衛士,然后單擊“清理惡評插件”,對檢測出來的惡意插件和病毒進行清除,掃描出來的結果表明,系統主要是由于Ms08067漏洞補丁為修補,在上網時訪問了存在木馬病毒的網頁,從而導致系統出現緩慢等原因。根據360安全衛士檢測的提示,清除該病毒需要下載頑固木馬專殺工具,將該工具下載到本地,然后進行查殺,如圖13所示,果然檢測出來兩個病毒,將其清除。
 |
| 圖13 |
圖13 使用360頑固木馬專殺大全查殺病毒#p#
4.木馬病毒瘋狂下載病毒
(1)找到木馬病毒下載者
根據感覺,估計該木馬病毒會自動從木馬網站下載病毒,直接到Temporary Internet Files文件夾,如圖14所示,木馬病毒下載聊15個新的病毒文件,其下載地址為“http://www.down008867.com/mtv/”文件名稱依次按照Xpn進行命名。在該文件夾中還存在一個讀取地址的文件sl.txt,該文件自動木馬病毒知道下載的地址。
 |
| 圖14 |
圖14木馬病毒瘋狂下載病毒
(2)清除木馬下載者
直接刪除“Temporary Internet Files”下的所有文件,同時在系統目錄中發現“ilobbyupdater117.exe”木馬下載者文件。最后再使用360衛士看了一些系統的進程,如圖15所示,確認無可疑進程運行。
 |
| 圖15 |
圖15查看系統進程
5.修補系統漏洞
使用安全360衛士掃描和修補系統中存在的漏洞,最后使用其高級工具中的進程查看器查看其進程、服務以及網絡連接等,在確認系統正常后,重新對系統做一次備份。
四、總結
本次手工清除病毒對我來講,是一種挑戰,是運用多種方法和技術來清除病毒和加固系統的一次實戰。個人感覺還是有很多收獲,主要有以下幾點: 1.在清除病毒過程中一定要切記隨時做好系統的備份!我在開始清除病毒時,由于未對系統進行備份,導致系統啟動后,無桌面,看似系統正常啟動,而實際上關鍵進程都被病毒劫持了。后面每前進一小步都對系統進行備份,然后再次尋找突破點和清除病毒。
2.如果系統的一些關鍵進程被劫持,則優先考慮使用一些專用殺毒軟件來解決,這樣效率高,且不容易出現問題。
3.使用autoruns、icesword、CurrPorts、360安全衛士安裝程序、ProcessExplorer以及一鍵Ghost等普通軟件可以清除絕大部分病毒。
4.在清理病毒時要注意可執行文件名稱和大小,這個需要平時的經驗積累。
解決問題后,感覺非常好,由于解決病毒有一段時間了,當時急于解決問題,抓到圖也不太多,因此可能有些地方描述不太清除,不到之處,請批評指正,歡迎來我的論壇(bbs.antian365.com)進行討論。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
