病毒已经进化到非专业人员不能杀的地步

　　作者：李铁军

今天有个朋友中了招，要我帮他解决下。详细了解完，已经觉得这样的病毒对于普通用户来说，差不多算无治，重装系统成为唯一的选择。

现象：

朋友装的不是毒霸，QQ远程过去一看，他装的杀毒软件只剩下一个空壳，右下角系统托盘的图标还在，安装目录下的文件所剩无几，已经完全不能抵挡病毒的攻击。

尝试下载毒霸安装包，双击一闪安装程序就被关闭了。下载清理专家安装包，双击后，发现安装程序已经被删除，运行冰刃、Sreng的后果一样。还好，还能运行autoruns，隐藏微软签名的加载项后，发现10－20个DLL加载在Appinit，映像劫持的项发现几乎所有安全软件被劫持到ntsd，这个修改差不多是针对金山清理专家来的，金山清理专家会把映像劫持项完整列出，对非系统文件会报告为可疑或已提交或病毒名。而病毒用正常的程序文件来完成劫持就会被报告为安全，这样就能躲过普通用户的眼睛。要说这一点，应该算是金山清理专家的一个技术缺陷，已经建议研发部针对此项恶意行为升级。

使用autoruns删除这些项是徒劳的，删完一刷新，就发现被病毒改回来了。把那几个安全工具改名后运行，也全部失败。估计用Process Explorer可以解决问题，这个工具并不常用，是个不错的进程管理器，显示的项目也很全。

问过朋友，说中了这个病毒，进安全模式会蓝屏，自己的QQ已经多次提示在别的地方登录，显然已经被盗。遂建议朋友试下用winpe光盘引导后，再使用Sreng或autoruns，用手工方法把病毒干掉。朋友说没WINPE这东西，已经失去修复系统的耐心。

最后，这台机器还是备份文档后，重装完事儿。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有