[原创] 1个小时与未知病毒搏斗的经历 [复制链接]

sx008

帖子: 2989
精华: 0
积分: 1496
金钱: 3048
荣誉: 0
人气: 1
评议: 0

电梯直达

楼主

发表于 2009-7-30 21:12:21 |显示全部楼层 |倒序浏览

闲来无事上X网，准备学习新知识，弹出一个网页
需要下载一个网址更新器，10多K的一个exe文件叫url_bbs.exe，凭着我多年的直觉，8成是个病毒

随手右键使用nod32查杀 — 怪事来了，没有病毒
幻觉吗？更新到7月30日病毒库，查杀级别到最高，依然毫无病毒
对NOD的信任和我的贱手双重作用下，我双击了，惨剧发生了
NOD 360瞬间被秒，我意识到不对，刚准备拔了网线的时候，我知道已经晚了，我输了
360打不开修复也没用 NOD就不说了已经挂了
万般无奈，重启，似乎更严重了，网站一个开不了，我连最后一丝希望都没了，我想到了重装
可是我的资料，我的片子，还有一堆驱动，软件要重装，我爆发了，我一定要手动搞定这个垃圾

重点思路：
1.病毒一定是有进程的，他即使隐藏的再深也有破绽，这就是灭病毒的基础
2.这些2B病毒一定会用系统进程当掩护什么explorer svchost usernit什么的而且肯定是释放DLL 而且自动启动

有了2点理论，过程就是顺利成章了，先普通重启不用说病毒一定会把360给灭了而且会联网下病毒dll
重点步骤来了：
1.打开进程管理器初步查看一下 30个进程几乎都是很熟的进程病毒一定隐藏了
2.除了不可能被仿冒的系统，其余进程一个一个关每关一个开一下360 中途肯定会有系统进程会自动关机
没事，他会等一分钟，运行里输入shutdown -a就行了
3.终于查到了隐藏的真好居然是某个svchost进程
4.病毒终于显露疲态，360顺利开启，当然网络是开不了了，先要完全修复IE，这时还是不能上网
5.重启开机一瞬立刻终结病毒进程，顺利上网，开启360云查杀并且下载了360木马专杀
6.全盘扫描一遍 7个木马最后一次重启讨厌的病毒！！再见了！！！！

结论：
1.完全不能相信杀软，尤其是国外的
2.千万不要打开不明来源的exe文件
3.中了病毒千万别上网不然就是死路一条了

————————————低调的分割线————————————————
看大家如此积极的测试我来做个总结
昨天我试用了很多杀软就是为了这个小木马以下为测试结果（包含大家的结果）
卡巴：没有问题直接拦截
NOD4.0：拦截
NOD3.0+新病毒库：无效
Norton企业版11：无效
F-secure：无效
Avast：无效
小红伞：拦截
瑞星：拦截
金山：拦截
Win7自带：拦截

试用总结：卡巴最强毫无疑问，但是误杀率确实高，连本人的什么算号器什么N64模拟器一起灭了卧槽比病毒还牛X
NOD4 这版本给我感觉比3.0占用资源更少了木马也删了就是不知道会不会被其他木马灭了正在进一步验证中
Norton没叫这是我没想到的看来外国的杀软还是水土不服啊
F-secure 很烂号称有卡巴还有什么双引擎比较令人失望
小红伞还行就是只要是加壳的东西一律木马卧槽这无耻的本色颇有卡巴的风采

最终结论：我改用了NOD4.0 但是我对这个杀毒软件从此就不再那么信任了

[ 本帖最后由 sx008 于 2009-7-31 15:36 编辑 ]