行走江湖多年，终于遇到“鬼”了！！！（原创）

qhyyadan

我本人一直不相信病毒有多厉害，玩机器很长时间了，从来没有中过什么病毒，什么CIH，什么木马、什么....一概没有遇见，一方面是我防范措施做的好，另外也是处世小心谨慎。但是直到昨天，我发现，病毒这东西，好象也很厉害....

    昨日饭后上网，日里聊的很好的一个MM发来消息说自己中毒了。仔细一看才发现，呵呵，典型的“QQ尾巴”病毒么，简单。MM是典型的“电脑盲”，心里一边想这下可以讨MM欢心了，一边不紧不慢的打开了瑞星的专杀页面，把1.3版的QQ专杀工具的连接发了过去。心想，一会MM肯定会称赞我如何聪明、如何体贴，有求必应一类的话。可是不多久，MM说什么也没有找到！我一头雾水，不会吧，随好友消息发来的“去看看xxxxx网站把，有精彩的动画”这就是典型的QQ尾巴病毒啊。怎么专杀工具找不到呢？？

    再次来到瑞星技术网页，查看QQ尾巴病毒的手工清除方法，然后在QQ上指点MM ，如何找那些病毒文件。可是依旧一无所获！！怎么会事，难道是变种？仗着本人有那么点“三脚猫”的功夫，为了讨MM的欢心，我索性用出了牺牲精神，来个“老农尝毒草”（源自神农尝百草的启发）。我关了瑞星监控和防火墙，鼠标潇洒的点了次那个病毒网站，瞬间我就看见一个IE的下载对话框闪过，“正在下载b.sys…”然后进入了页面。其实那页就是个FLASH歌曲。关了页面，回来和MM说话，果然，这下我的消息后面也有了个长长的尾巴“快去xxxxxx网站吧，那里有... ”我也中毒了。
      
    小样儿，还收拾不了你了？我暗笑！随即用QQ专杀工具杀毒，可是没有发现病毒。重新启动，用瑞星DOS版杀毒软件和最新的病毒代码杀毒，依然没有发现病毒！！！这下我意识到，也许遇见新病毒了！
      
    其实当时我并不慌张，因为我觉得这个病毒杀伤力很小，最多发个垃圾尾巴而已，而且大不了重装。可是这次由于是为了MM解决问题，自己身先士卒，有苦说不出啊。怎么可以让MM重装呢，多没面子啊。不能重装，我到底看看你怎么作怪的。我打开“任务管理器”到进程里面找那些不熟悉的进程和刚刚启动的进程看看，果然发现一个叫b[1].sys的进程在内存中运行。这是什么东东？之前怎么没有看见过？我疑惑。回忆刚才进入页面的时候，IE自动下载并运行了个叫“b.sys”的东西，我想就是他吧。索性先终止他再说，于是结束了这个线程！果然，发消息的时候尾巴不见了，呵呵 我暗笑，这么容易就找到你了？

    但是后来证明我高兴的太早了。我想，此类病毒一定是可以自我复制的，现在仅仅是在内存中清除，硬盘上肯定还有，而且必定修改了注册表的启动项目。于是我以“b[1].sys”为关键字，在注册表中搜索，果然找到了三项和b[1].sys有关的键值，一律删掉！我恶狠狠的按下delete键。现在可以回去和MM请功了，呵呵。我给MM发送QQ消息，告诉她已经解决了。果然，没有尾巴出现。可是好景不长，刚说到第二句的时候，可恶的尾巴又神奇的出现了！！有意思，我暗想，是什么让你开始运行了？再次调出“任务管理器”查看里面运行的进程，发现一个叫cmd.exe的进程形迹可疑！以前也从来没有见过，想想名字，满熟悉的。好像是会出现DOS窗口的命令啊，看看周围的程序，没有需要DOS窗口的啊，怎么回事？连忙去文件搜索里面找cmd.exe，找到了4个cmd.exe，分别在C:\下；C:\WINNT\system32下；C:\WINNT\system32\dllcache下和C:\WINNT\ServicePackFiles\i386下。后三个都是黑色图标，是可以出现DOS窗口的命令，可是唯独第一个可疑，在C盘根目录下，属性还是隐藏的。乖乖，不会就是你吧！

    打开注册表编辑器，查找cmd.exe，果然在自动加载项里有，但是我没有删，因为还没有给MM解决问题呢，我总要有个对照吧。于是我先在进程中结束了cmd.exe，果真这次尾巴又不见了，看来这cmd.exe是产生尾巴的祸根？然后将C盘根目录下的cmd.exe彻底删除了。随即，我发消息给MM，告诉她，先在进程中结束cmd.exe，再让她把系统盘根目录下的cmd.exe删掉就好了，MM照做，果然好了。接着，我让MM打开注册表编辑器，准备把他从注册表摘除，可是MM告诉我，打不开注册表了。我说不可能啊，不久MM发来信息说所有他的程序都打不开了。我再次迷惑了，怎么回事，怎么和我不一样呢？我说你等等，我重新启动一次，看看是不是也这样。于是我重新启动了。当机器起来的时候，让我惊讶的是，本应该自动载入的瑞星监控和防火墙以及我的个人程序均没有自动加载。系统托盘里仅仅有输入法和小喇叭的图标！再打开任何程序，均报告出错，不能打开。我发现我的注册表也打不开了，不仅是注册表，所有程序都不能打开了，一致报告“….没有正确的库文件…”芸芸。这下我真傻了，怎么办。肯定是因为我删了cmd.exe，所以病毒限制了我所有程序。但是我的电脑可以打开，不知道为什么。我上网，拨号能拨上去，但是IE打不开了。QQ也打不开了。我有点着急，因为MM还在那边等着呢。

我静下来考虑整个事件的始末，理了理顺序，事情的发展如下：
“首先访问病毒网站，IE自动下载b.sys运行我就中毒了，b[1].sys 在内存驻留就有尾巴，修改了注册表启动项，cmd.exe驻留内存也有尾巴，删掉cmd.exe就会导致程序启动失败…..肯定什么东西在监测cmd.exe的存在与否或者修改了什么系统文件，让所有程序关联都失败了”

    怎么恢复呢？怎么恢复啊！！我着急中发现，b.sys一定在我的临时文件夹里，既然能上网，不如就再运行b.sys让自己再中毒，这样所有程序就可疑启动了。于是我从我的电脑里找到了Temporary Internet Files临时文件夹，在里面寻找，果真有一个b.sys的文件，双击运行，只见硬盘微微响了几下，我的所有程序居然可以再次运行了，但是同时cmd.exe又在我的c盘根目录出现了。尾巴也同时出现了，b[1].sys也出现在进程中了，再次结束b[1].sys，暂时没有尾巴出现，可是不久cmd.exe又出现在进程中了（cmd.exe和b[1].sys不同时出现在进程中，仅仅先b[1].sys，后cmd.exe）尾巴再次出现了。结束cmd.exe不久，它会自动加载到内存中。天，阴魂不散啊！！！

    我告诉MM，让她别着急，在Temporary Internet Files里找到b.sys运行，她的所有程序可以运行了，在她找的过程中，我在想，删掉cmd.exe和运行了b.sys之后，系统到底起了什么变化呢？居然会奇迹般的恢复了不能运行的程序。于是我打开控制面板里的“管理工具”－》“计算机管理”－》“事件查看器”－》“系统”查看了系统日志，发现有程序在替换我的rundll32.exe文件！！但是都被我的2000自动恢复了。难道是因为这个么？我先转到\winnt\system32目录下，找到rundll32.exe,眼睛盯着他的同时，我再次删掉cmd.exe，又再次运行b.sys――不可思意的情况发生了，眼前的rundll32.exe 被不停的替换成旧版本的rundll32.exe又不停的被系统自动恢复回去，检查事件查看器，记录的全是如下内容“试图在被保护的系统文件 c:\winnt\system32\rundll32.exe 上进行文件替换。 为了维护系统稳定，这个文件被还原成原始版本。 不正确文件的版本是 4.10.0.1998，系统文件的版本是 5.0.2134.1。 ”

    这个家伙一直在修改我的动态连接库运行文件！！！畜生！！！但是今天早晨访问瑞星网站我知道，这并不是程序不能启动的真正原因。之前我说了，我仅仅“三脚猫”的功夫，各位高手不要笑话我啊。弄到这里，我实在是没办法对付这个病毒了。我仅仅可以修改注册表启动项，让它不会再次加载到内存中内存中，但是硬盘上的这个cmd.exe却不能删，虽然他已经不能发尾巴了，但是放在那里让我不舒服。整理了思维之后，我发了病毒样本和自己的研究日记给瑞星公司，我想对于那些技术高手们来说，这样病毒简直就是小菜啊。

    看看表，我和MM已经折腾了4个多小时了，弄的我疲惫不堪，MM也很烦。不过程序能运行了。所以最后我还是建议她 在新的病毒数据库没有发出之前，你还是重装好了。心里觉得对不起MM，也觉得自己丢人啊，呵呵，下次不能再逞能了，还是给瑞星高手们解决去好了。如果各位想看这个病毒的详细信息，去下面的连接http://it.rising.com.cn/newSite/ ... 11/05-110512547.htm

    另外请打家尽快升级自己的病毒数据库到15.60.10 就可以杀这个病毒了，数据库更新据瑞星给我发回的邮件说今天（2003.11.05）晚些时候可以升级了，不过目前我还没有升，好像还没有提供。

    （请大家务必去瑞星的网站看看关于此病毒的特性，尤其是玩网络游戏的朋友们，对于你们来说，简直就是偌大的敌人！！！！！！）

zwsoft78

我帮我朋友手工清除了这类病毒.用了一个上午时间我才发现它的复制机制.太强了!!!
原来它在注册表里将几种常用类型文件(*.exe,*.dll,*.jpg)的关联指向它的母体.也就是说只要你执行任何程序或打开图片都将首先执行它母体进行复制.找出了它的母体就不难清除了.先按注册表中指向的路径找到它,删除掉.将注册表中这几种文件类型的关联改回正常值后,再将其它可疑文件的启动清除.

[ Last edited by zwsoft78 on 2003-11-5 at 16:25 ]

hsz76

呵呵，楼主虽然没有最终解决问题，但是整个过程写的很不错，可以供大家参考。

按照楼上的zwsoft78的方法应该可以手动清除掉的

qhyyadan

楼上的说的很对 ，之所以删掉cmd.exe之后 所有程序运行不了的原因就是这个，不论你运行什么程序，都会先偷偷运行cmd.exe 如果他不存在了，就会不让任何程序启动，但是先前启动的程序不受干扰。昨天查点没有把我累死，哎，都是MM惹的祸 呵呵

LinuxIBM

同情……记得当初中了REDCODE II，最后也是重装系统，真的好痛苦！

qhyyadan

我没有重装 我命好啊 自己解决了 觉得很有意思 和大家分享好了
不过要说的是 这个“尾巴”会偷游戏密码 比其他的尾巴更可恨 大家小心哦~~

docliu

我突然有了一个想法，能不能把一个EXE文件改成cmd.exe。比如search之类的。这样可以欺骗一下病毒。

还有呀，怎么改文件的关联？在那里找？

qhyyadan

你老兄真有意思 不知道可以与否 但是就是可以我也不愿意弄 总让机器处于一种“病态” 心里多不舒服啊。

docliu

呵呵，玩儿电脑吗，就是要玩出新鲜的来。实际上是你和变病毒人在较量。多有意思

lingzhu

呵呵，越看越象MATRIX拉`！

DX们，我对病毒的确是一无所知~！

docliu

呵呵，班主居然在NZ。我离你不远，也在小岛上。tasmania

w0017

我也碰到这东东了。结果最后还是让他们重装

burgeon

瑞星广告？

qhyyadan

不是瑞星广告啦 我本人就是瑞星的用户 写点心得而已 呵呵