本文记录了一次处理被PE病毒感染的计算机的过程。主板出现故障后,通过更换硬件和克隆系统来维持正常使用。然而,系统逐渐被未知进程感染,经过多次查杀仍未能根除病毒。最终确定为PE病毒,并通过关闭可疑进程、覆盖关键文件等方式成功清除。
一块精英板,PS/2口全坏,USB口全坏,估计I/O是桥芯片坏了。
使用USB卡安上键/鼠(当然不进系统是不能用的),在别的电脑上克隆了一个别人正在用的系统(相同芯片组的)。
在坏主板上把BIOS取下,用BIOS工具改默认项中常规卡里的Halt on 改为No Error。进系统后比较正常,于量杀了一下毒然后用安了还原精灵,为了减少安装系统的麻烦。
系统正常用了一个多月,慢慢发现偶尔有莫明的进程,每次查杀都不治本,自动为系统安装的驱动都禁用了,相关文件都禁止访问了,可问题过几天又会出来,而且还原精英是正常的,也就是说是系统启动后自动去特定的地方下载。
于是上述过程抓包验证的结果真是如此。今天特别厉害,启动病毒的时候要五至十分钟。同时会发ARP包,进行ARP欺骗,对网络影响很大,并对访问页面在页首增加一些iframe 或script等代码,以载入含毒网站。反arp防火墙似乎效果并不好,建议加静态映射到路由 arp -s
处理过程:
拔掉网线,Reset(因为有还原系统,Reset就会还原),启动到桌面后每个运行态的进程都查看了一遍载入的DLL,无异常,用360查看端口,360报安全线程,其中有一项为userinit.exe,正常情况下userinit.exe在完成加载后会退出,为什么还在呢?于是使用另一个系统的文件比对,发现增加了一个节,而后,对系统全面查看了一遍,证明此为PE病毒,没有专杀。。。重装全格最简单。
我使用了以下方法,关闭所有可疑进程,使用 net use z: //otherpc/c$
再 xcopy z:*.exe c:/ /s /c /f /h /r /y /u 这样全部覆盖,一切OK(查看部分DLL没有变化)
当然一般情况下进安全模式PE一样有效果,所以最好在DOS下覆盖,使用FAT32可能会方便些
扫一扫
1603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
