实验环境:
病毒样本:auto.exe autorun.inf(不知是什么病毒名称,U盘及移动存储设备多带此种病毒)
操作系统:windowsXP(SP2)
实验步骤:
一、.运行病毒文件,查看状况(下图是其中一种现象,还有的现象是无法设置“文件夹选项”或是设置了无效,仍不能显示隐藏的文件)
二、查杀流程
1.进程
- 打开“任务管理器”没有发现可疑进程
- 打开冰刃检查隐藏进程也无可疑进程
- 用冰刃查看dll注入,发现“EXPLORER”下有“4404EE42.DLL”(该进程可能结束后会自动重生,具体查杀方法,看下文)
2.启动项
- 打开sreng查看个启动项无可疑
3.查看服务
- 打开sreng查看WIN32服务,发现85E857EF,对应的路径为:c:\window\system32\25B910B4.EXE -k(原来病毒添加了服务启动)
注:到目前为止已经查到俩个可疑文件:“4404EE42.DLL",c:\window\system32\25B910B4.EXE
4.查找可疑文件(冰刃上场)
- 首先检查系统盘,发现C盘下有auto.exe及autorun.inf文件
- 查看%systemroot%\system32\下有“4404EE42.DLL”和25B910B4.EXE 俩个文件
补充:怎样判断可疑文件呢?判断的方法很多,如:根据文件路径,根据创建时间,根据文件名称等等,如下图根据时间判断(cmd下,运行dir /o:d >X:\*.txt)
三、开始杀毒
杀毒方式很重要,一般来说在“安全模式下”杀毒,因为正常模式杀毒病毒会重启病毒服务及进程。不过也不都是,比如用“冰刃”工具照样可以在正常模式下干病毒。。。
1.首先设置冰刃
2.杀进程模块(dll注入)
3.删服务
4.删文件
5.重启系统
5.修复系统
一切正常:
