掐住吃内存大虫的喉咙---find.exe和cmd.exe和Rar.exe病毒

来源：互联网发布：ubuntu apt get glib 编辑：程序博客网时间：2024/04/18 20:12

掐住吃内存大虫的喉咙

我们都听说过，贝多芬“掐住命运的喉咙”这句响亮而霸气的话语。最近，本想开始写日志的时候，一个“大虫”挡在我的前面——find.exe和cmd.exe和Rar.exe病毒，笔记本装的XP，这三个进程反复开启，每次开机之后不到5秒系统就停止了动作了。我不想跟这条大虫纠缠，就索性直接GHOST了，然而没想到，恢复后，立刻死灰复燃，用另一设备查看网络上说明，都是说无法杀掉。无奈啊，我机器上那么多资料加优盘上那么多的文件都感染了（大概500多G），于是抄起家伙，我要掐住这无聊大虫的喉咙。

查看网络上对该病毒的解法，大致是：删掉所有的.exe,或者格式化所有盘符。OH,GOD，我的那么多资料啊。不可行。我决定自己搞。

插入一些话：我真的很鄙视这帮制造病毒的家伙，许多病毒都没什么技术含量，纯属给国内的杀毒软件充数而已，有人甚至怀疑这些病毒就是杀毒软件制造商释放的（怀疑而已），病毒制造者们，能否出点新意，像CIH那样的病毒，似乎好多年都没见了，这些躲猫猫的玩意，真的很无趣。

在XP没有死机之前，我启动了任务管理器，看到了一堆的find.exe和cmd.exe和Rar.exe,还没来得及操作，机器就死机了。

转入正题：如何破解这个病毒的反复扩散吃完内存的怪圈呢？

因为XP正常启动是一会就死，那就进安全模式吧。

还好安全模式进入了，启动跟踪工具，跟踪得到如下信息：

红色框内的信息是有问题的，这类东西不应该出现，特别是注意到：

该病毒已经关联到svchost.exe中和msinfo32.exe系统文件了。

检查启动组：

启动组还算正常，这两个圈住的desktop.ini，一直都有，这也是个小型的后门程序，我一直没有管它。我曾开发一个专门杀它的专杀程序，这次看到了还是一并解决到底吧。

看到这一步，我首先决定手动删除:find.exe和Rar.exe（跟踪地址显示器为winRar.exe，因此我怀疑所有的.rar可能被感染）。Cmd.exe不能删，cmd.exe是应该只是执行了某些指令，是一个桥梁，这个不需要删除。然后看病毒如何应对该情况。

找到find.exe查看文件：

第一步尝试处理：

删除:c:\windows\system32\find.exe

卸载 winRar

重启机器。

正常进入XP，CTRL+ALT+DEL手动打开任务管理器，虽然没有出现find.exe，机器仍然在数秒内死机。

所以，应该有其他程序嵌入运行，重新进入安全模式。

使用工具重新检查启动项，没有发现关联的启动项目，但是仔细再次看这些启动监视记录：

发现如下可疑的启动进程。

.tmp文件结尾一般为临时文件，很显然这些文件的名字非常奇怪也很好辨认，根据其与svchost.exe的关联，可以发现这些.tmp文件是在使用svchost.exe运行一些系统命令（例如创建进程和文件一类的命令），.tmp文件一般是为某些进程单独服务的，可以认为这是一种“注入”手法（我个人认为），可以断定这些.tmp也是非常关键的，那么找到多少删除多少，看它怎么办。

删除所有能够找到的.tmp。

然而这次只找到少量的.tmp，没有找到hrl12.tmp这类命名的文件。

我删除这些后，正常重启xp，仍然数秒后死机，很沮丧，到底是什么原因？如果这些病毒已经到达驱动级别，我检查服务以及驱动联系是很繁琐的，所以我认为可能未删干净。

再次回到安全模式下，重新执行查找：