原本以为小菜一碟,杀掉几个小马就行,没想到竟然费了如此周折。。。
用超级兔子一查,中了五种流氓软件,我杀杀杀。。。重启再查,发现有一个VERYCD超级搜索无法清除,IE首页依然固定为my123.com,重启进安全模式清除,每次清除以后又会重新感染。哎哟!这小马不简单啊,居然有守护进程,立马拿出Pjf大侠制作的Iceswrod1.12,以下简称ICE,查看SSDT,发现有ebsec.sys,tykeeper.sys,cjrkji77.sys在HOOK,在注册表查
ebsec.sys,tykeeper.sys,cjrkji77.sys等相关服务并删除,用ICE的文件功能对相关SYS进行删除,重启后依然如故。
我不禁倒吸一口凉气,知道碰到硬骨头了,遂拿出看家法宝——WangSea大侠制作的SYSCHECK,这个软件我要向51CTO的朋友强力推荐,真的太好用了,谁用谁知道!闲话不说,咱们言归正传,首先在检测修复—活动文件—分类为启动值的项目里面发现两条rundll 调用cjrkji77.sys的条目,修复后刷新又出来,然后在SSDT检测中发现cjrkji77.sys在HOOK,点恢复,再到进程管理里面点防止驱动阻止恢复(这个功能可以防止驱动级木马自动恢复)。
最后在服务管理中发现ebsec.sys,tykeeper.sys,cjrkji77.sys均有类型为BOOT级的服务在运行,乖乖!怪不得每次进安全模式也不行,原来如此。把相应服务删除,相关文件删除,启动项修复,重启。。。
我心想这下应该搞定了吧,可是现实给我无情的回应,现象依然如故!怎么可能??点开SYSCHECK,查看服务,没有相关SYS,查看SSDT,没有HOOK,用ICE查找文件,只发现c:\windows\system32\drivers\cjrkji77.sys,删除以后又自动生成!难道还有漏网之鱼?打开c:\windows\system32,显示所有隐藏文件,按文件创建日期排序,仔细查找,发现有一个cjrkji77.dll,一看名字就知道了,肯定就是它了,用ICE删除这个dll,刷新又有?!我靠,这个大木马太强悍了!看样子我要拿出独门绝招对付它了,大家猜猜是什么,重装系统?这当然一了百了,可是为此我折腾了这么久,就这么重装也太没面子了吧!
那到底是什么呢?大家看好了,我的绝招就是————————ICE,哎哟,谁丢的臭鸡蛋?这边还飞来一块砖头!大家别激动,的确是ICE,我要用到的是它的另外一个功能,仔细看过它帮助的人可能会知道,它有一项特别功能,可以修改正在运行的文件。我要做的就是用为cjrkji77.dll和cjrkji77.sys增加一点数据,使其失去作用,嘿嘿!说干就干,我打开ICE—文件,随便找了一个小文件,点右键—复制,复制到c:\windows\system32\ cjrkji77.dll和c:\windows\system32\drivers\cjrkji77.sys里面,重启。。。
激动人心的时刻就要到来啦,打开SYSCHECK,修改默认首页为空,刷新,Yeah!可恶的木马终于被我搞定了!整个世界清净了。。。。。。
本文转自 goldwinner 51CTO博客,原文链接:http://blog.51cto.com/355665/83155,如需转载请自行联系原作者
