毒霸变灰的染毒实例及完整解决方案病毒防范 -电脑资料

    利用Adobe Flash Player漏洞传播的高危木马实测

    最近Adobe Flash Player漏洞引起安全厂商的高度关注，因为Adobe的产品缺少象微软那样的补丁管理系统，该漏洞的影响可能会持续较长时间，

毒霸变灰的染毒实例及完整解决方案病毒防范

    本文实际染毒测试的样本就是这类下载者的代表，该样本会破坏杀毒软件，中毒后的修复过程相当麻烦，希望通过本文给网友恢复系统以新的思路。

    解决该问题的要点：

    1.下载磁碟机专杀，杀掉已知病毒。

    下载地址：http://bbs.duba.net/attachment.php?aid=16114147

    2.修复毒霸的uplive.exe

    3.升级毒霸和清理专家

    4.重启系统到安全模式，运行毒霸和清理专家，完成病毒和恶意软件清除。

    本例中，运行样本后有uplive.exe，kissvc.exe，kpfwsvc.exe损坏，需要从其它正常电脑安装的毒霸中恢复，为方便大家修复，这里提供了打包文件下载。

    fixduba.zip(548.17 KB)

    fixduba.zip(548.17 KB)

    下载次数: 3

    2008-6-3 17:05

    样本文件名：orz.exe

    MD5：5fbabcd8b6c7d42ba38a858582fda63e

    以下是完整的手工解决办法，供喜欢手动解决问题的网友参考。

    染毒环境：

    WinXP SP3中文版虚拟机

    金山毒霸2008官方下载版，病毒库日期2008.5.12

    1.png(94.61 KB)

    2008-6-3 16:59

    步骤：

    1.运行染毒ORZ.EXE，执行后，ORZ.EXE自动删除。

    2.毒霸防火墙立即由红变蓝

    2.png(23.26 KB)

    2008-6-3 16:59

    观察毒霸文件夹，发现几个重要EXE被1KB大小的同名隐藏文件替换

    3.png(5.52 KB)

    2008-6-3 16:59

    尝试手动删除，失败，显然文件被使用中。

    系统也变得很慢，CPU占用100%，只好强制重启。

    4.png(23.74 KB)

    2008-6-3 16:59

    3.重启发现毒霸实时监控变灰色，显然服务被删除。

    5.png(31.15 KB)

    2008-6-3 16:59

    网镖启动也报错

    6.png(9.82 KB)

    2008-6-3 16:59

    4.下载磁碟机专杀，重命名后双击执行，发现多个恶意软件

    7.png(50.54 KB)

    2008-6-3 16:59

    专杀工具释放的迷你毒霸扫描到若干 木马

    8.png(28 KB)

    2008-6-3 16:59

    5.访问http://an.baidu.com安装百度安全中心，因为中毒后kasmain.exe被病毒破坏，想试试百度安全中心的web版清理专家的效果，没有用在线杀毒

    9.png(55.11 KB)

    2008-6-3 16:59

    修复浏览器相关项，全部选中，再禁用选中项。

    10.png(18.62 KB)

    2008-6-3 16:59

    修复异常的启动项，部分加载项无法被选中是指当前状态下无法修复，暂且不管，能做多少算多少，

电脑资料

    11.png(19.95 KB)

    2008-6-3 16:59

    清理恶意软件和插件，因磁碟机专杀已经清除部分恶意软件，现在显示的是其它未清除的恶意软件。

    12.png(16.71 KB)

    2008-6-3 16:59

    清除选中项后，重新扫描，发现未能成功清除。这也是正常的，带毒环境下清除是有可能失败的。

    13.png(17.85 KB)

    2008-6-3 16:59

    6.磁碟机专杀工具已经完成全盘扫描，建议重启

    14.png(53.79 KB)

    2008-6-3 16:59

    7.重启后，从其它计算机将uplive.exe复制到已中毒机器的毒霸目录，以恢复毒霸的升级功能，进而通过升级恢复被破坏的毒霸程序文件。

    注意：运行uplive前，先将update文件夹删除，这一步很重要，因发现这个病毒还会破坏update文件夹中以前下载的几个程序文件，直接升级会导致出错。

    在升级完成，建议重启时，点否，我们可以立即使用最新版本的清理专家来尝试一下。

    8.清理专家检测的结果

    15.png(60.49 KB)

    2008-6-3 16:59

    首次完成清除后，再刷新发现仍然报告，说明仍有病毒程序在运行，此时不必按程序要求重启，先尝试手工解决。

    启动项中发现延迟加载项和appinit Dlls加载项

    16.png(61.6 KB)

    2008-6-3 16:59

    全面检测中发现执行挂钩，选中后尝试修复。

    17.png(64.97 KB)

    2008-6-3 16:59

    9.接下来，尝试修复毒霸。

    双击右下角灰色的毒霸监控图标，打开主程序，点击“解除危险”

    18.png(96.42 KB)

    2008-6-3 16:59

    在确认框，点是，启动文件实时监控。

    19.png(66.19 KB)

    2008-6-3 16:59

    然后，你可以尝试全盘杀毒，我不太喜欢全盘杀毒，在监控未发现病毒时，我基本不用全盘杀毒，太花时间了。这里我选择了重启，把杀毒的任务交给毒霸的抢杀技术（Bootscan），只要监控功能恢复正常，已知的病毒会在重启时被删除。

    24.png(63.76 KB)

    2008-6-3 16:59

    10.再执行清理专家，发现几个恶意软件已经不存在了。

    11.但网镖还是没能自动启动，提示服务加载失败

    20.png(9.96 KB)

    2008-6-3 16:59

    12.开始，运行，输入services.msc，检查发现毒霸的公共服务和网镖的服务均未启动。

    21.png(38.45 KB)

    2008-6-3 16:59

    双击查看服务的属性，发现文件不存在

    22.png(10.25 KB)

    2008-6-3 16:59

    23.png(9.95 KB)

    2008-6-3 16:59

    分别是KISSvc.EXE和KPfwSvc.EXE，我们只需要从其它电脑COPY这两个文件到毒霸目录，再重新启动这两个服务就解决了。