病毒已经进化到非专业人员不能杀的地步

今天有个朋友中了招，要我帮他解决下。详细了解完，已经觉得这样的病毒对于普通用户来说，差不多算无治，重装系统成为唯一的选择。

现象：

朋友装的不是毒霸，QQ远程过去一看，他装的杀毒软件只剩下一个空壳，右下角系统托盘的图标还在，安装目录下的文件所剩无几，已经完全不能抵挡病毒的攻击。

尝试下载毒霸安装包，双击一闪安装程序就被关闭了。下载清理专家安装包，双击后，发现安装程序已经被删除，运行冰刃、Sreng的后果一样。还好，还能运行autoruns，隐藏微软签名的加载项后，发现10－20个DLL加载在Appinit，映像劫持的项发现几乎所有安全软件被劫持到ntsd，这个修改差不多是针对金山清理专家来的，金山清理专家会把映像劫持项完整列出，对非系统文件会报告为可疑或已提交或病毒名。而病毒用正常的程序文件来完成劫持就会被报告为安全，这样就能躲过普通用户的眼睛。要说这一点，应该算是金山清理专家的一个技术缺陷，已经建议研发部针对此项恶意行为升级。

使用autoruns删除这些项是徒劳的，删完一刷新，就发现被病毒改回来了。把那几个安全工具改名后运行，也全部失败。估计用Process Explorer可以解决问题，这个工具并不常用，是个不错的进程管理器，显示的项目也很全。

问过朋友，说中了这个病毒，进安全模式会蓝屏，自己的QQ已经多次提示在别的地方登录，显然已经被盗。遂建议朋友试下用winpe光盘引导后，再使用Sreng或autoruns，用手工方法把病毒干掉。朋友说没WINPE这东西，已经失去修复系统的耐心。

最后，这台机器还是备份文档后，重装完事儿。

最新相关文章

• ·十万火急!有人用病毒冒充百度Hi供下载
• ·安全知识：无线上网的私有文件易被共享
• ·首款Windows Mobile木马病毒开始肆虐
• ·病毒进化进入驱动级 与杀软争夺系统控制权
• ·病毒已经进化到非专业人员不能杀的地步
• ·全过程揭秘手机结合电脑行骗的伎俩
• ·警方:"熊猫烧香"漏网疑犯可能仍在制毒
• ·专家提醒：Quicktime 用户需修复漏洞
• ·Gmail防止恶意注册CAPTCHA验证被破解
• ·瑞星提醒在线杀毒2007用户需升级
• ·下载海量盗号木马　机器变慢甚至死机
• ·惊！搜狗可直接查到雅虎邮箱帐号和密保
• ·金盾篡改IE程序文件 窃取聊天工具信息
• ·谷歌扫描器（goolag scanner）被黑客利用来寻找网
• ·VMware虚拟机严重漏洞可导致袭击宿主系统
• ·感染所有exe文件 “间谍感染虫”爆发