安全专家遭遇难缠auto病毒 被迫重装系统

广州小少爷

【赛迪网-IT技术报道】现象：新装的系统，还没来得及装杀毒软件，发现系统异常时，再装已经来不及了。装谁谁死，双击，安装包不是被删除，就是没反应，改名也无济于事，安全模式进去就蓝屏。

解决过程：

尝试传了个磁碟机专杀和Auto专杀，眼瞅着执行就被删除了。

传了PAPA的检测工具，得到个LOG，发现以下可疑文件。


c:\windows\system32\lqvafk.dll
c:\windows\system32\ttnnbnnb1049.dll
c:\windows\system32\ttezzezz1046.dllt
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\sperls.dll
c:\windows\system32\drivers\100133.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
MSDOS.bat(各分区根目录下的)


尝试运行冰刃，不久惨死，网速也非常慢。XDELBOX，一运行发现sys被删除，无济于事。

procxp正常，尝试将上面列的几个DLL终止，速度实在是慢的无法操作。

传过去一个批处理，先把样本备份再说。（后检查了传过来的样本，有一个新木马，其它全部可以查杀）

后尝试将两个驱动改名：


c:\windows\system32\drivers\100133.sys
c:\windows\system32\drivers\msosmsfpfis64.sys


重启后，运行auto病毒专杀和磁碟机专杀，程序仍然被删除。

百度了一下，这个msdos.bat，是个感染型病毒，会下载较多木马。感染型病毒，在不能进入带命令行的安全模式或使用WINPE的情况下，很难彻底解决。并且，也没办法远程操作。从效率考虑，建议对方重装。重装后，注意开Windows防火墙的情况下，立即下载毒霸，升级到最新，防止再中毒。

再次说明防毒很简单，杀毒很麻烦，希望大家都不要中招，防患于未然，比中招救急强多了。

[ 本帖最后由 广州小少爷 于 2008-4-16 08:06 编辑 ]

guren

确实   杀毒很麻烦

jklm735

翻译公司,北京译邦达 翻译公司是经北京工商行政管理局注册登记的专业 上海翻译公司，做为专业的翻译公司我们为您提供母语风格的中外、外外互译翻译、陪同口译翻译、交替口译
      翻译,翻译公司,北京 翻译公司,新语丝翻译公司成立于1999年，8年的运作经历使新语丝拥有雄厚的翻译力量和工作经验。
      北京通联汇金 翻译公司，作为北京最专业的翻译公司之一。拥有朝阳区翻译公司和海淀区翻译公司两个分部，可提供快速高质的商务翻译和专业小语种翻译服务。
      北京奥体汇友翻译公司为专业 翻译公司,翻译领域最为专业的翻译公司之一。本翻译公司专家老外执笔.提供快速高质的商务翻译及专业小语种翻译。