现象:新装的系统,还没来得及装杀毒软件,发现系统异常时,再装已经来不及了。装谁谁死,双击,安装包不是被删除,就是没反应,改名也无济于事,安全模式进去就蓝屏。
解决过程:
尝试传了个磁碟机专杀和Auto专杀,眼瞅着执行就被删除了。
传了PAPA的检测工具,得到个LOG,发现以下可疑文件。
c:\windows\system32\lqvafk.dll
c:\windows\system32\ttnnbnnb1049.dll
c:\windows\system32\ttezzezz1046.dllt
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\sperls.dll
c:\windows\system32\drivers\100133.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
MSDOS.bat(各分区根目录下的)
尝试运行冰刃,不久惨死,网速也非常慢。XDELBOX,一运行发现sys被删除,无济于事。
procxp正常,尝试将上面列的几个DLL终止,速度实在是慢的无法操作。
传过去一个批处理,先把样本备份再说。(后检查了传过来的样本,有一个新木马,其它全部可以查杀)
后尝试将两个驱动改名
c:\windows\system32\drivers\100133.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
重启后,运行auto病毒专杀和磁碟机专杀,程序仍然被删除。
百度了一下,这个msdos.bat,是个感染型病毒,会下载较多木马。感染型病毒,在不能进入带命令行的安全模式或使用WINPE的情况下,很难彻底解决。并且,也没办法远程操作。有几个可疑文件是拒绝COPY的,这种情况下,我无法从远程得到样本,多种方法尝试无效。从效率考虑,建议对方重装。重装后,注意开windows防火墙的情况下,立即下载毒霸,升级到最新,防止再中毒。
再次说明防毒很简单,杀毒很麻烦,希望大家都不要中招,防患于未然,比中招救急强多了。
关于如何防毒,真是超级简单,下面两个文档,稍加熟悉就可以做到。
“狗犬不惊”之防狗秘笈
【新手必读】简简单单防病毒 
