“鸡尾酒”疗法对付多种木马的混合入侵

这里引用的"鸡尾酒"疗法是医学名词，是指医师同时使用多种抗病毒的药物对付艾滋病。对于计算机病毒来说，单个的工具（特别是很出名的工具）很容易被病毒列为对抗目标而失去效应，就好比医学上说的抗药性，如果将多个工具结合使用，就能用来对抗计算机病毒的这种抗攻击能力（抗药性）。

　　上周末遇到一个将主页锁定为www.321so.net的广告木马，周一又见到一个类似的案例，同样是弹广告，杀毒软件失效、任务管理器打不开、不能访问杀毒厂商的网站、安全模式蓝屏、系统还原被禁用。

　　遇到这种情况时，相当多的用户会寻求专杀工具来解决，以前类似现象可以用AV终结者专杀工具解决，但遗憾的是，病毒制造和传播手段也在不断进化，黑色产业链的从业者肯定不会停滞不前，他们总能找到对付杀毒软件和专杀工具的办法。

　　系统被这样的病毒入侵是灾难性的，我敢说：这样的病毒入侵如果没有专业人员指导，99%的用户会选择重新安装。

　　说说我的鸡尾酒疗法

　　我通常会准备这几个工具：

　　毒霸急救箱--一个傻瓜化的通用的木马删除工具，很多木马我们期待用它一次扫描重启就完成木马清除和系统的修复。
　　清理专家的独立小模块，需要的可以到爱毒霸社区下载。

　　重要的组件有：

　　进程管理器--内置安全认证的进程模块分析器。

　　文件粉碎器--强制删除顽固程序模块的好工具。

　　系统垃圾清理工具--很多下载器会藏身于系统临时文件夹和IE缓存文件夹，手动删除不如这个来的快捷。

　　sreng--用来分析日志。

　　冰忍--用来分析和杀死进程。

　　XDELBOX--相当好用的重启删除工具，可以直接导入需要删除的文件列表，一次重启全部删除。

　　处置思路

　　以下工具可顺序执行，也可不分先后分别执行。

　　1.首先尝试急救箱，这是个新工具，病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的，新版本也具备一定的反rootkit能力。

　　对于不是太复杂的木马入侵，急救箱一次重启就搞定的比例大约为78%。

　　今天的这个实例急救箱失败了，表现为扫描总也无法完成，扫描中该程序会崩溃掉。

　　2.急救箱程序崩溃可能是被正在运行的病毒木马干扰，解决这个问题，需要进程管理器

　　本实例中，直接运行冰刃失败，显然是被映像劫持。随机改名后运行可以启动，但迅速被关闭。类似安全工具不能直接执行的，改名是最简单的办法。

　　随便将清理专家的进程管理器改名后运行，发现有system.exe在运行，还有若干个DLL模块被判定为病毒。将这些模块全部选中后结束进程。

　　3.将sreng随机改名后执行，将分析日志导出为log文件。

在这个日志中发现较多异常

启动项目注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] <svchest.exe><C:WINDOWSsystem32svchest.exe> [番茄花园][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] <HBService32><System.exe> [N/A][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] <Alcmtr><anymie360.exe> [] <gem><C:DOCUME~1JXSJ~1.WWWLOCALS~1Tempsv1D.tmp> [File is missing][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] <{89240220-D63C-4DCD-9E8D-080C4032ABD8}><C:WINDOWSsystem32opikgiig.dll> [] <{59AECB4D-6A81-4A12-B617-363FC1838D58}><C:WINDOWSsystem32lpaecbkd.dll> [] <{E89112B1-42FC-46DB-944E-DC4B0A6DBAC5}><C:WINDOWSsystem32eophhibh.dll> [] <{176C010A-06E8-4EFD-88A4-03A03328F5BB}><C:WINDOWSsystem32hnmcghga.dll> [] <{E99DD30A-62FF-4A0D-8395-88ABF43D8864}><C:WINDOWSsystem32eppddjga.dll> [] <{9C21718E-9041-4C25-B5A3-058E29987703}><C:WINDOWSsystem32pcihnhoe.dll> [] <{60EE1E55-8AB6-4191-A43A-AF71C840742C}><C:WINDOWSsystem32mgeehell.dll> [] <{C66E9790-1597-4A33-AF9B-91F829A47B32}><C:WINDOWSsystem32cmmepnpg.dll> [] <{B9DBE372-702A-448F-A440-8D3165184132}><C:WINDOWSsystem32bpdbejni.dll> [] <{C1CC2E66-8D80-4B62-85FF-C54DBFED1461}><C:WINDOWSsystem32chcciemm.dll> [] <{832F07E4-5271-4C4A-B76A-800E1B6AFE38}><C:WINDOWSsystem32ojifgnek.dll> [] <{BB8C0FAF-2104-4FE9-A4B4-18F1F66F612B}><C:WINDOWSsystem32bbocgfaf.dll> [] <{1BD89A31-0D8A-4681-BEDA-D12FDC93BC58}><C:WINDOWSsystem32hbdopajh.dll> [] <{4C6C420F-215B-44E2-AC09-B4E13915F16B}><C:WINDOWSsystem32kcmckigf.dll> [] <{BA07E3C5-7E9C-4B72-9C69-D60E204541E0}><C:WINDOWSsystem32bagnejcl.dll> [] <{81E57996-AC4A-465D-9632-5BBB45AF9BE6}><C:WINDOWSsystem32ohelnppm.dll> [] <{1ADCE198-C337-4EB1-99B0-46EA76564607}><C:WINDOWSsystem32hadcehpo.dll> [] <{5B5257C8-FAC1-42BE-B5E5-F0832AC4BB39}><C:WINDOWSsystem32lblilnco.dll> [][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad] <89240220><C:WINDOWSsystem32opikgiig.dll> [] <59AECB4D><C:WINDOWSsystem32lpaecbkd.dll> [] <E89112B1><C:WINDOWSsystem32eophhibh.dll> [] <176C010A><C:WINDOWSsystem32hnmcghga.dll> [] <E99DD30A><C:WINDOWSsystem32eppddjga.dll> [] <9C21718E><C:WINDOWSsystem32pcihnhoe.dll> [] <60EE1E55><C:WINDOWSsystem32mgeehell.dll> [] <C66E9790><C:WINDOWSsystem32cmmepnpg.dll> [] <B9DBE372><C:WINDOWSsystem32bpdbejni.dll> [] <C1CC2E66><C:WINDOWSsystem32chcciemm.dll> [] <832F07E4><C:WINDOWSsystem32ojifgnek.dll> [] <BB8C0FAF><C:WINDOWSsystem32bbocgfaf.dll> [] <1BD89A31><C:WINDOWSsystem32hbdopajh.dll> [] <4C6C420F><C:WINDOWSsystem32kcmckigf.dll> [] <BA07E3C5><C:WINDOWSsystem32bagnejcl.dll> [] <81E57996><C:WINDOWSsystem32ohelnppm.dll> [] <1ADCE198><C:WINDOWSsystem32hadcehpo.dll> [] <5B5257C8><C:WINDOWSsystem32lblilnco.dll> []服务[Provisioning Transaction Service / pangu222][Stopped/Auto Start]<C:WINDOWSsystem32sv1F.tmp.exe><(File is missing)>驱动程序[msiffei / msiffei][Stopped/Manual Start]<System32Driversmsiffei.sys><N/A>[Safe Mon 360 / SafeMon0][Running/System Start]<??C:WINDOWSsystem32D9F7F2BC.dat><N/A>