通过系统检测日志软件的记录，发现病毒对注册表进行了大量的修改，主要体现在对安全模式的破坏，也是我们无法进入安全模式的根本原因，具体到如下键值SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}(标准的安全模式)SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}(网络支持的安全模式)被删除掉了，当然还有其他网络安全模式这里不一一列举;杀毒软件无法正常启动也是相同的问题，杀毒软件的服务启动项目被病毒删除了SYSTEM\CurrentControlSet\Services下的类如：KAVBASE(金山毒霸的服务项);为了防止病毒体被重新定位，病毒还将SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项目彻底删除掉了。

　　3、病毒的自我修复

　　下面进入病毒自我保护部分的分析，该病毒能破坏主流杀毒软件和安全工具的正常使用，能破坏系统的安全模式，这些都是被动防御的方式，来看看病毒的主动修复方面。首先病毒在运行过程中会检查互斥体"xcgucvnzn"，判断病毒是否已加载在内存中，避免病毒的多次运行;释放驱动C:\NetApi000.sys(\Device\NetApi000)用于恢复SSDT Hook，接着再自我删除达到HIPS和主动防御安全软件失效的作用;病毒还会在\system32\com下启动smss.exe和lsass.exe，实现守护进程，当其中一个进程被干掉的时候另一个进程将重新启动被干掉的进程，形成一个死循环永远无法关闭;病毒还会在C:\windows\system32\dnsq.dll安装全局钩子，注入所有运行中的进程，一旦DNSQ.DLL进程被关闭操作系统也会自动重启;最高级的还属这条，该病毒还使用了byshell的技术，当系统正常关机时自动调用SeShutdownPrivilege函数，dnsq.dll会将C盘下的***.log拷贝至：C:\Documents and Settings\All Users\「开始」菜单\程序\启动\，系统重新启动时病毒就会自动重新运行，很多专杀工具失效的主要原因就在这里。

　　三、清理病毒

　　病毒是相当的聪明，开发者似乎在挑战安全工程师，针对杀软的更新也非常迅速，尽管病毒屏蔽了大量的杀毒软件、安全工具和专杀程序，然尔我们依然可以从一些小工具入手干掉他。

　　1、阻止病毒再运行

　　大家都知道WIN系统的程序执行主要靠注册表中的文件关联类，当这个类被删除后，几乎所有程序都无法在WIN系统上运行，利用这一特性阻止病毒的再次运行。首先运行QQKAV这个针对QQ尾巴的病毒的小工具，运行手动杀毒，查找到相关进程，用户都能看到我们前面所提到的进程，并启动开机杀毒功能，通过注册表管理器查找exeflie项将其备份后删除，确定开机杀毒后工具会强行重启计算机，如果执行失败可以通过RESET键执行重启，经过开机前的可以文件清理，此时病毒基本不具有威胁性了。如图二

　　                                 删除EXEFLIE项并启用开机杀毒

上一页  [1] [2] [3] 下一页