SXS完全查杀+预防方案

科技小能手 2017-11-12

监控 防火墙 配置 控制台

第一部分:病毒作恶行径

    寒冰(作者名)通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:
点击在新窗口查看全图
病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了 
点击在新窗口查看全图
病毒启动另一程序dappvk.exe
点击在新窗口查看全图
生成病毒同名dll文件:dappck.all
点击在新窗口查看全图
病毒dappvk.exe修改注册表启动项,实现开机自启动
点击在新窗口查看全图
病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd

意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可

点击在新窗口查看全图
这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的
点击在新窗口查看全图
net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务
点击在新窗口查看全图
sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用
点击在新窗口查看全图
net.exe又同样尝试结束江民的服务
点击在新窗口查看全图
sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因
点击在新窗口查看全图
这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):

SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务
点击在新窗口查看全图
结束江民控制台进程
点击在新窗口查看全图
同样,又把该服务设置为"禁用"
点击在新窗口查看全图
注入驱动保护,保护病毒删除后重新生成
点击在新窗口查看全图
配置卡吧服务为"禁止"
点击在新窗口查看全图
结束瑞星进程RsRavmon
点击在新窗口查看全图
设置瑞星的RsRavmon服务为"禁用"
点击在新窗口查看全图
结束瑞星监控进程
点击在新窗口查看全图
同样配置瑞星监控服务为"禁用"

待续......


本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/12081


登录 后评论
下一篇
云栖号
8392人浏览
2020-03-04
相关推荐
详细了解进程和病毒知识
915人浏览
2017-11-15 15:54:00
如何预防勒索病毒?
1112人浏览
2019-12-26 16:48:16
0
0
0
691