【前记】
知道Win32.Virut.ce吗?其实它名字前面还有一个Virus,这下你就知道了吧?你也差不多猜到了七八分了吧,我中木马了。
首先声明一点,我没有浏览什么不良网站,各位过客请勿想入非非……(其实这也是我为什么写前记的主要原因,人心不古啊~~~)
简单的介绍一下起因吧,由于移动硬盘被我虐出了坏道,又不想直接低格(不明白的可以点击链接查看),上网找各种各样的硬盘修复工具,结果悲剧就这样上演了……
先是我在网上找到了一个名为HD Regenerator的软件,号称连物理坏道都可以修复,因为是共享软件,习惯性的上网找破译方法,最后在一个号称拥有所有软件key的国外网站。我刚开始还信誓旦旦的认为找到了强大的网站,现在回头想想才知道它为什么会那样宣传……下载破译工具,Avria AntiVirus(小红伞)报毒,我以为是破解软件的缘故,就选择了ignore。再次开机的时候,就发现进不了桌面了,显示usrinit.exe运行错误,打开进程,看到一屏幕都是guardgui.exe。用室友的电脑上网搜了一下,说那个是小红伞误报,把小红伞卸了就没事了,于是我就真的SB了一回……再次启动,桌面是能进去了,打开飞信,显示“应用程序正常初始化(0xc000007b)失败”,又是上网搜,说是.net问题,于是卸载重装,郁闷的是,在win 7下,显示:此产品已经作为操作系统的一部分安装“,这个问题还在研究中。知道这时,我仍未意识到笨笨已经成为木马机了……幸好有一个好习惯,开了一下360,报告说有木马或者高危文件,然后才发现了这个传说中的Win32.Virut.ce。我本不知这种木马为何物,以为360足够强大到将其轻松解决,结果在成功删除处理了多个tmp文件之后,显示对于此木马“处理失败”。我开始警觉了,上网找了一下此木马的相关资料,终于傻眼了……摘录部分内容如下:
Virus.Win32.Virut.ce
病毒类型: 病毒类
文件 MD5: 34D360D7A178F8D9CF9E2A8D6A93B536
公开范围: 完全公开
危害等级: 5
文件长度: 40,221 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 – 7.0
加壳类型: 伪装为Borland Delphi v3.0的FSG 2.0变形壳
病毒描述:病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。Win32.Virut.GEN病毒,少有的技术型病毒。virut是加密变形病毒,这个病毒每感染一个文件,病毒特征就会变一次,杀毒引擎想通过特征码查杀来修复被感染的文件,相当困难。
故障现象:机器运行缓慢,杀毒困难,部分应用程序无法使用。
到目前为止,还没有发现哪个杀毒软件能够修复被virut感染的EXE,只能选择隔离。系统感染病毒后,只要你访问EXE文件,它就会去感染,然后感染得各个分区都是,普通网友仅仅是格下系统盘,其他分区上的不管,那么很可能会死灰复燃。感染型病毒,它是将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
看完之后,我想死的心都有了,前两天装win 7,弄ubuntu的配置大全,已经装了N次系统,还成功的把移动硬盘废了,在一切就要结束的时候,糗事又来了,难道又要重装系统?不甘心啊!
即然360没戏,只好自己上网找清除方法了,找了半天,也没有找到,但是之前为了避免语言障碍,我只是看了中文的页面,没办法,只好求助于我的E文了……终于工夫不负有心人,找到了,也就不废话了,进入正题。
【决战全纪录】
先贴上原文链接:http://www.techspot.com/vb/topic125565.html
以下是我的转述,鉴于本人鄙陋的E文水平,只翻译大意……
1、下载以下三个免费软件并拷贝到木马机中(译者注:按使用顺序进行了调整)
Dr. Web CureIt Scanner – http://www.freedrweb.com/
Symantec Virut Removal Tool – http://www.softpedia.com/progDownload/W32-Virut-Removal-Tool-Download-121930.html
ATF Cleaner – http://download.cnet.com/ATF-Cleaner/3000-18512_4-89432.html?tag=mncol
2、在系统属性中关闭系统还原,断开所有网络连接,包括可能的无线设备。
3、重启进入安全模式,登陆具有管理员权限的账户。
4、打开下载好的DrWeb.exe(译者注:下载的时候文件名是随机生成的,要记住是哪一个文件),打开之后会进行一次快速扫描模式,这个只需要数分钟。如果你真的感染上了这种木马,快速扫描会发现部分中毒文件,此时选择让文件自动“处理/恢复”(译者注:直接选择Yes to all即可)。Win32.Virut.ce在我的机器上显示为Win32.Virut.56(译者注:显示相同),在快速扫描结束后最小化窗口。
5、重点:就像我说的,这个病毒可以很容易的通过电脑和设备传播,所以如果你在电脑中毒期间插拔过各类USB设备或者移动硬盘,必须确保你有足够的时间让你的电脑在检查这些外围设备时保持空闲状态。
6、如果Dr.Web找到了部分中毒文件,你需要打开下载好的FixVirut.com。这是由Symantec公司发布的修复染毒文件的工具。这个工具非常方便使用,直接运行即可,但是它可能要花费数小时时间,在运行结束后,它会提示你时候重启,但是暂时不要重启(译者注:我没遇到提示重启的情况,而且我好像用这个没有找到染毒文件)
7、在执行完FixVirut.com之后,你需要切换回DrWeb.exe并执行一次完全扫描,在执行之前,最好在“选项”–>“修改设置”(快捷键F9)里的“文件类型”栏目中取消“压缩文件”的选择,因为这个病毒貌似(appear to)在任何情况下都不会感染压缩文件,但是如果你觉得你有足够的时间,也可以保持原样。(译者注:我取消了压缩文件的勾选,扫描花费了两个多小时时间)
8、运行Dr.Web的完全扫描非常重要,它会检查所有FixVirut.com可能遗漏的染毒文件,而且,它也可以检查一些和这个病毒相关的木马下载器和可疑文件。另外,外围设备也会被检查修复,在程序第一次提醒是否修复文件时选择“Yes to all”,然后基本上所有剩下的工作都会由它完成。但是在遇到无法修复的文件时,它会暂停并询问如何处理(译者注:本人选择的是隔离,隔离不成功就选择删除)。整个过程需要花费数个小时。
9、在扫描结束后,仔细浏览一遍染毒文件和可疑文件列表,为了以防万一,人工隔离或者删除Dr.Web遗漏的可疑文件,除非那些是你电脑上非常重要。
10、可以轻松一下了,因为大部分艰难的工作都已经完成了。在关闭执行完的Dr.Web之后,打开ATF-Cleaner.exe。选择“Select All”并点击“Empty Selected”进行删除过程。这将基本上删除电脑上的所有临时文件,这是安全的因为你并非一定需要它们。这一部不是必要的,仅仅是起防范作用。
11、接着进入系统根目录的临时文件夹并人工删除所有的文件(一般是C:WindowsTemp),这也不是必须的,但是同样是为了万无一失。
12、现在你成功了,你可以再次运行Dr.Web的快速扫描来确认,这时你的机器应该已经是清理完成了,可以重启电脑进入正常模式了。如果你没有先进的杀毒软件或者防火墙,建议安装一下,我就是由于没有这类软件才让我第一次陷入如此窘境。(译者注:本人是成功的在中毒时把杀毒软件卸掉的人,囧)
【后记】
几点感悟:
1、E文,想说爱你不容易,E文,学学更健康!(不是人,是电脑,别瞎想~~)
2、慎用破解机,那一般都是可执行文件,我这次就是太大意了。
3、充分利用网络资源,不要电脑一出问题就重装,那至少不应是北航软件村村民的行为。
4、合理安排时间,我觉得本人这次的选择还是比较聪明的,深夜开工,把电脑放一边,然后睡觉,睡醒了就看一下,早上起来不仅睡眠没怎么耽误,电脑也好了,不过也正因为此,一些自己清除木马过程的细节记不清了,充分尊重了原文……
5、由于本人多使用Ubuntu,又不善于浏览什么不良信息,所以习惯于裸机,这次安装的小红伞还是一位软件村村民推荐的免费版。此前杀毒软件一直是本人轻视的领域,但经过本次教训,鄙人决定痛改前非,虽然windows在linux面前毫无魅力可言,也要把它养的壮壮的!先提前透露下,关于数款免费杀毒软件的分析比较已在运量中,近期无繁杂事务,专心把玩电脑……
2 responses to “决战 Win32.Virut.ce”
呵呵学习学习……
博主回复:2009-08-29 15:38:00
呵呵 想搞电脑的女生不多哈
太谢谢你了!!靠着你这篇文章,我杀了所有的毒,感谢drweb
博主回复:2009-10-02 09:28:16
不客气,欢迎你支持我的博客