注册登录

“鸡尾酒”疗法对付多种木马的混合入侵

时间:2016-02-28 13:26 来源: 我爱IT技术网作者:佚名

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是网络协议方面的经验知识教程：“鸡尾酒”疗法对付多种木马的混合入侵，下面是详细的分享！

“鸡尾酒”疗法对付多种木马的混合入侵

这里引用的“鸡尾酒”疗法是医学名词，是指医师同时使用多种抗病毒的药物对付艾滋病。对于计算机病毒来说，单个的工具（特别是很出名的工具）很容易被病毒列为对抗目标而失去效应，就好比医学上说的抗药性，如果将多个工具结合使用，就能用来对抗计算机病毒的这种抗攻击能力（抗药性）。
上周末遇到一个将主页锁定为www.321so.net的广告木马，周一又见到一个类似的案例，同样是弹广告，杀毒软件失效、任务管理器打不开、不能访问杀毒厂商的网站、安全模式蓝屏、系统还原被禁用。

遇到这种情况时，相当多的用户会寻求专杀工具来解决，以前类似现象可以用AV终结者专杀工具解决，但遗憾的是，病毒制造和传播手段也在不断进化，黑色产业链的从业者肯定不会停滞不前，他们总能找到对付杀毒软件和专杀工具的办法。

系统被这样的病毒入侵是灾难性的，我敢说：这样的病毒入侵如果没有专业人员指导，99%的用户会选择重新安装。

说说我的鸡尾酒疗法

我通常会准备这几个工具：

毒霸急救箱——一个傻瓜化的通用的木马删除工具，很多木马我们期待用它一次扫描重启就完成木马清除和系统的修复。

清理专家的独立小模块，需要的可以到爱毒霸社区下载。

重要的组件有：

进程管理器——内置安全认证的进程模块分析器。

文件粉碎器——强制删除顽固程序模块的好工具。

系统垃圾清理工具——很多下载器会藏身于系统临时文件夹和IE缓存文件夹，手动删除不如这个来的快捷。

sreng——用来分析日志。

冰忍——用来分析和杀死进程。

XDELBOX——相当好用的重启删除工具，可以直接导入需要删除的文件列表，一次重启全部删除。

处置思路

以下工具可顺序执行，也可不分先后分别执行。

1.首先尝试急救箱，这是个新工具，病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的，新版本也具备一定的反rootkit能力。

对于不是太复杂的木马入侵，急救箱一次重启就搞定的比例大约为78%。

今天的这个实例急救箱失败了，表现为扫描总也无法完成，扫描中该程序会崩溃掉。

2.急救箱程序崩溃可能是被正在运行的病毒木马干扰，解决这个问题，需要进程管理器

本实例中，直接运行冰刃失败，显然是被映像劫持。随机改名后运行可以启动，但迅速被关闭。类似安全工具不能直接执行的，改名是最简单的办法。

随便将清理专家的进程管理器改名后运行，发现有system.exe在运行，还有若干个DLL模块被判定为病毒。将这些模块全部选中后结束进程。

3.将sreng随机改名后执行，将分析日志导出为log文件。

在这个日志中发现较多异常

启动项目
注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[番茄花园]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
[]
[File is missing]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{89240220-D63C-4DCD-9E8D-080C4032ABD8}> []
<{59AECB4D-6A81-4A12-B617-363FC1838D58}> []
<{E89112B1-42FC-46DB-944E-DC4B0A6DBAC5}> []
<{176C010A-06E8-4EFD-88A4-03A03328F5BB}> []
<{E99DD30A-62FF-4A0D-8395-88ABF43D8864}> []
<{9C21718E-9041-4C25-B5A3-058E29987703}> []
<{60EE1E55-8AB6-4191-A43A-AF71C840742C}> []
<{C66E9790-1597-4A33-AF9B-91F829A47B32}> []
<{B9DBE372-702A-448F-A440-8D3165184132}> []
<{C1CC2E66-8D80-4B62-85FF-C54DBFED1461}> []
<{832F07E4-5271-4C4A-B76A-800E1B6AFE38}> []
<{BB8C0FAF-2104-4FE9-A4B4-18F1F66F612B}> []
<{1BD89A31-0D8A-4681-BEDA-D12FDC93BC58}> []
<{4C6C420F-215B-44E2-AC09-B4E13915F16B}> []
<{BA07E3C5-7E9C-4B72-9C69-D60E204541E0}> []
<{81E57996-AC4A-465D-9632-5BBB45AF9BE6}> []
<{1ADCE198-C337-4EB1-99B0-46EA76564607}> []
<{5B5257C8-FAC1-42BE-B5E5-F0832AC4BB39}> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
<89240220> []
<59AECB4D> []
[]
<176C010A> []
[]
<9C21718E> []
<60EE1E55> []
[]
[]
[]
<832F07E4> []
[]
<1BD89A31> []
<4C6C420F> []
[]
<81E57996> []
<1ADCE198> []
<5B5257C8> []
服务
[Provisioning Transaction Service / pangu222][Stopped/Auto Start]
<(File is missing)>
驱动程序
[msiffei / msiffei][Stopped/Manual Start]

[Safe Mon 360 / SafeMon0][Running/System Start]

在很多进程中发现病毒模块

[PID: 664 / wucz][C:WINDOWSexplorer.exe] [Microsoft Corporation, 6.00.2900.3156
(xpsp_sp2_qfe.070613-1311)]
[C:WINDOWSsystem32opikgiig.dll] [N/A, ]
[C:WINDOWSsystem32lpaecbkd.dll] [N/A, ]
[C:WINDOWSsystem32eophhibh.dll] [N/A, ]
[C:WINDOWSsystem32hnmcghga.dll] [N/A, ]
[C:WINDOWSsystem32eppddjga.dll] [N/A, ]
[C:WINDOWSsystem32pcihnhoe.dll] [N/A, ]
[C:WINDOWSsystem32mgeehell.dll] [N/A, ]
[C:WINDOWSsystem32cmmepnpg.dll] [N/A, ]
[C:WINDOWSsystem32pdbejni.dll] [N/A, ]
[C:WINDOWSsystem32chcciemm.dll] [N/A, ]
[C:WINDOWSsystem32ojifgnek.dll] [N/A, ]
[C:WINDOWSsystem32bocgfaf.dll] [N/A, ]
[C:WINDOWSsystem32hbdopajh.dll] [N/A, ]
[C:WINDOWSsystem32kcmckigf.dll] [N/A, ]
&nbs

以上就是关于“鸡尾酒”疗法对付多种木马的混合入侵的网络协议知识分享，更多电脑教程请移步到>>电脑教程。

评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）

“鸡尾酒”疗法对付多种木马的混合入侵

“鸡尾酒”疗法对付多种木马的混合入侵

最新教程

热门教程