与我遇见的最强木马斗争经过，最终获胜

　　（我2天前上网的时候中毒，由于很久没有手工杀毒了，与之斗争2天，最终获胜。现将过程写下，希望对类似的网友有帮助）。

上网的时候机器突然变慢，无法进行任何操作，我意识到中毒了，无奈重启机器。登陆后，发现
中毒现状如下：

　　现状

　　1.我用的金山杀软（防火墙、网标）全部无法启动，双击无任何反映，同时发现杀软服务以被禁止，连IceSword也启动不了（后来发现将防火墙、网标改名也无法启动，但将IceSword.exe改名如
123.exe就能启动IceSword。这步关键）；

　　2.原来的显示的隐藏文件全部不见，点击文件夹选项－显示隐藏文件，依然无法显示武安部文件；同时QQ号码被盗！

　　3.打开进程管理器，居然没有发现可以进程，一般的注册表启动项如

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下没有启动项；

　　4.重启想进入安全模式，发现不能进入,看来注册表的safeboot项也被改写......

　　分析：

　　由于一时无法从进程上看到什么，就想到现让文件显示出来，按日期看看那些是病毒文件。打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde
r\Hidden\SHOWALL，双击右边的CheckedValue，将0改为1，点击文件夹选项－显示隐藏文件，这下
看到全部文件了。

　进入C:\WINDOWS，C:\WINDOWS\system32,让件按日期排列，发现名为85228E60.hel（估计每部电脑生成不同的名）的文件创建时间与中毒时间一致，断定为病毒文件之一。

　　顺藤摸瓜。既然一般的注册表启动项发现不了病毒文件，就搜索。以85228E60（注意不要85228E60.hel，这样会少很多）为关键字眼搜索注册表。有了，有SysWFGwd2.dll，85228E60.dll
，85228E60.dat,NewInfo.dll等，全在C:\Program Files\Common Files\Microsoft
Shared\MSINFO\里面。

然后我们的一般的想法是删掉注册表启动项，在删掉病毒文件。

　　斗争：

　　1.首先考虑进入安全模式下，那就先恢复注册表的safeboot项。我把以前备份的注册表的safeboot项导入，重启进入安全模式。根据分析，开始删掉注册表搜索到的包含85228E60的项，例如在[HKEY_CLASSES_ROOT\CLSID\{28E68522-8522-8E60-228E-522E65228E60}\InProcServer32]
@="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\85228E60.dll"
"ThreadingModel"="Apartment"含有85228E60.dll，就将28E68522-8522-8E60-228E-522E65228E60这个项都删了同时在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下发现360safe.exe,avp.exe，KAV32.exe，KAVPFW.exe,HijackThis.exe等项，都在右边生成Debugger的字符窜，值为C:\Program Files\Common Files\Microsoft Shared\MSINFO\85228E60.dat。看来病毒能使得主流的杀软失效，秘密在这里。

　　2.删除病毒文件。将SysWFGwd2.dll，85228E60.dll，85228E60.dat,NewInfo.dll等文件删除。

　　3.重启，以为大功告成，但是发现症状依旧！

　　看来太小看这病毒了。经不断的研究，重启，发现，（研究了2天！）开机病毒已经驻留内存，只要一删病毒文件，马上将内容写入注册表。这时候想到一个好办法，配合IceSword来用。（要将原来的改名）

　　最终办法：

　　1.要保证删掉注册表项后不被驻留在内存的病毒重新写入，就要用注册表的权限。把上面的子项{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options用权限限制写入。然后进入IceSword注册表（因为IceSword注册表可以删除受限的子项，而regedit不能）删除子项{28E68522-8522-8E60-228E-522E65228E60}和Image File Execution Options下的搜索到的病毒项。（注意，这一步最关键，一定要限制该项的写入权限。）

　　2.删除病毒文件。（会有几个仍删不了，重启后在删），打开受禁的金山服务。

　　3.重启，发现金山杀软（防火墙、网标）已经启动，在检查注册表病毒启动项、病毒文件，已经没有了。至此结束。

　　后记：

　　写这么长的文字，不是要大家完全按我的一步步来作，而是要大家懂得分析的思路。因为每人的机器情况一定不同，只要按正确的思路，一定可以战胜病毒。

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有