今天上午帮人杀毒,两个小时没搞定,远程协助用冰刃很是不爽,不知为什么。
下午直接杀到同学家。
症状:打开ie浏览器,弹出提示框:内存不能为read,提示框关掉就又弹出。
麦卡非没有查到病毒。
360+windows清理助手,没有解决问题。
sreng+windows杀毒助手,没有查出任何异常。
用autoruns,在服务中找到可疑服务,指向文件: windows\soft2006.exe
已确认显示了隐藏文件,但病毒文件没有找到。
用冰刃,找到病毒文件:(病毒样本请到首页修复论坛下载研究)
soft2006.exe
soft2006.dll
soft2006key.dll
但是删除后又重建。用冰刃提取病毒文件,改名字保存,成功。
用费尔强制删除工具,选抑制病毒文件再生,删除病毒文件,成功。
重启,发现c:盘根目录有病毒驱动,(原来重启前看不到。)8位随机名字的sys文件。冰刃提取文件失败。unlocker改名文件失败,移动文件失败,冰刃删除文件失败,费尔强制删除工具删除文件失败,最后放弃提取病毒文件,(时间紧任务重,这时可以正常上网,但发现有垃圾在发黄色广告,可惜我没有记住我的密码,设置过于复杂,我都忘了,要干紧回家上来删除),用unlocker删除病毒驱动文件成功。
重启,一切正常。
总结:1、病毒驱动文件开始转移阵地,不固定在drivers目录下。
2、用费尔强制删除工具和冰刃可以看到一切病毒文件,包括在显示所有隐藏文件和系统文件时都看不到的文件。
3、费尔强制删除工具可以在删除病毒文件同时创建同名文件夹,抑制病毒再生,对于长驻内存的病毒非常有效。可以删除unlocker删除不了的病毒。
4、删除病毒文件无效时,请互换使用unlocker+费尔强制删除工具+冰刃。还没有病毒文件可以抵挡这3个武器的攻击。
5、autoruns功不可没,它查到了其他软件(sreng+冰刃+windows杀毒助手)没有查到的隐藏服务。
6、至此,unlocker+冰刃+autoruns+费尔强制删除工具,被我誉为手动杀毒必不可少的4个强力工具,称之为4剑客。
7、本文首发在首页修复论坛btbaicai.com和流氓怕武术http://hi.baidu.com/rmp3,作者bark,请转贴者保留此内容。
以下为病毒样本,我在移动硬盘拷贝上传时,卡巴斯基提示查到后门病毒:soft2006.dll
啊!!!!!卡巴斯基!!!!