昨晚一哥们半夜鸡叫,说他的电脑中了病毒,杀毒软件不能用,也装不上,我估计是中了机器狗。建议他从正常电脑下载论坛提供的机器狗专杀,再到自己电脑上查毒。结果这哥们当晚没解决,今天又找上我。
首先用QQ给传了个机器狗专杀和磁碟机专杀,机器狗专杀报告发现av_killer_x,按提示重启后,病毒仍未清除,磁碟机专杀没有报告病毒。
遂远程连过去,用最新的AV终结者/机器狗专杀处理病毒,并抓了一堆新版机器狗清除后清理专家扫描的截图。
机器狗专杀报告发现安全模式被破坏、av_killer_x和另一个病毒。清除后,点停止查毒,再刷新,病毒又来了,专杀提示重启电脑,重启发现故障依旧。除毒霸新出的机器狗/AV终结者专杀和磁碟机专杀外,这台电脑上,毒霸和清理专家均不能运行,主程序已被病毒删除,COPY过去之后,双击程序立即再次被删除。
刚好,珠海要跟踪新版专杀的效果,就把这个用户交给水中雁处理。水大师远程连接后,用procxp关闭了explorer.exe进程里面的一个随机文件名随机后缀名的文件句柄(可理解为在explorer.exe进程中运行的一个子程序模块或线程),然后将这个句柄对应的system32下的那个文件改名,再搜索硬盘中同样大小的文件,结果删除了QQ目录下的和该文件大小一致的文件。重启计算机之后,发现av_killer_x被彻底清除。
据水大师后来分析,机器狗/AV终结者专杀5.0查杀失败的原因可能是未全部关闭这个句柄,可能与开着QQ远程桌面有关,如果关闭所有不相关程序后,再运行,就可能清除成功。
最新版本机器狗/AV终结者专杀5.7版从这里下载,可查杀机器狗、磁碟机和AV终结者的最新版本。
http://bbs.duba.net/attachment.php?aid=16114147
接下来我重新远程连接到他的桌面,将清理专家,毒霸主程序COPY回去,运行清理专家完成扫尾就可以了。以下是清理专家扫描的几张截图。
1.找到15个恶意软件,机器狗下载器果然很强悍。
2.修复启动项中的残留信息
3.将清除病毒之后,驱动中留下的残留信息删除。
4.将病毒修改的映像劫持项目修复,这里清理专家不能直接修复,在相应的加载项点左键,快捷菜单中选择定位到注册表,将这些错误的引用全部删除。(提醒,对注册表不熟的朋友小心操作,下手慢一点,看清楚注册表编辑器右边窗口键值和清理专家检查结果一致的 ,就删除。
