电脑中了mmc.exe病毒 感染了所有应用程序怎么办？

这个是我在nt核心系统下花最长时间拆(并且没彻底拆干净)的木马...现说一下~

首先,这个是我室友系统中的,刚开始我没觉得什么问题,木马将自己(大小61440字节)复制为c:windowssystem32mmc.exe替换原来的文件,然后注册为Smart Card Supervisor服务并且自动启动,而且看起来没什么别的高超的技术...于是我将mmc.exe文件从dllcache恢复,删除服务,然后检查进程,发现没有mmc.exe,到此本以为一切都解决了。

可问题是,重启系统之后,mmc.exe又被替换为木马文件,同时服务重新被注册。于是我又仔细检查了一遍启动项和相关的启动文件,确认完全没问题。尝试重新启动到安全模式,发现mmc.exe没有被自动恢复。

所以只好怀疑是驱动级的保护,因为最近有很多流氓软件采取驱动级保护,虽然他们都是删除文件之后立刻恢复,而这个只有重启才会出现。

接着就容易了,正常模式重启记录一份log然后和安全模式下的log对比,把所有的驱动程序排查了一遍,发现没有异常。到此工作陷入了困境。

那么下来只好怀疑是否有系统文件被替换,也只有这种可能了...于是我用sfc /scannow进行扫描,扫描的结果是没有任何文件被改动,这一点让我觉得很奇怪...现在看来,这是不太可能的事了~

后来同学说干脆重装吧,我也没管,就直接覆盖安装了,安装完了之后发现木马还在并且还处于激活状态,这一点说明这个木马不是替换了某条系统文件,不然覆盖安装的话就会没了...

接着我想到了既然木马文件能自动恢复,必然有一个恢复源,虽然现在找不到,但是大小应该和它一样...于是全盘搜索60KB左右的文件...偶然看到一条oldxxx.tmp,用fc和木马比较发现是同一条文件...至此,将其删除,但是我想问题不会这么简单...因为用hijackthis.exe扫描并没有这个加载项...
重启,果然出现问题...

在这中间插一句,中间的时候我从我系统用ipmsg.exe传过很多工具过来,其中有process monitor和process explorer,结果前者运行就会死机...后者查system的thread也查不出什么可疑的驱动程序(我一个一个查的)。

下面好像问题已经显得不太可能了...

在system32和windows文件夹漫无目的的搜索,突然发现有很多oldxxx.tmp,文件大小不一...在windows文件夹随便把一个.tmp文件改名为.exe,竟然发现是windows注册表编辑器...和原来的regedit.exe比较发现,多了60KB...然后又随便改了一个.tmp文件为.exe文件,是任务管理器...然后搜索所有.tmp,终于发现了...几乎所有有.exe文件的文件夹都有.tmp,而且是一一对应的,每个和.exe都是相差60KB...检查dllcache文件夹发现也有几个.exe日期变成了当前日期了(需要插一句,我之前查木马源经常dir /a/od排序,但是很少有最新的,因为每次我都是重启之后手工结束mmc.exe,所以没有很多文件被传染,而有段时间我没在宿舍,同学用了很长时间,所以很多文件被传染了)...

最后为了确认,我又对比了下我传过去的procmon.exe,也大了60KB...恢复成原来的就能用了...

到此所有问题都清楚了...这个木马运行时会复制自己到C:windowssystem32mmc.exe,并注册为服务启动,然后就会搜索硬盘上的可执行文件,如果是PE文件就会将自己和该文件捆绑,传染的时候会创建oldxxx(xxx为序号).tmp的临时文件,感染完毕会把临时文件删除...

所以就算把木马文件本身删除,只要执行被感染的文件木马就会自动被释放然后激活...

简单说来,如果仅从最后的效果来看,这就是大家在nt核心系统下好久没见的virus...虽然nt核心下PE文件的机制导致它不能向9x和DOS下那样感染...不过无疑,这个木马写的很好~

顺便...使用Kaspersky AntiVirus 6.0.1.411 MP1 final病毒库日期2006年11月22日是无法扫描出该木马的...
如果不进行大范围围剿,相信很快大家都会和它见面的...


我给出的解决办法,如果不愿意格式化重装,可以把mmc.exe恢复然后设置权限限制,设置成无法写入(NTFS require),这样木马没法覆盖mmc.exe,可以暂缓木马的传播...
接下来...大概分析了下文件...它的传播方式还有可能包含autorun.inf方式...不过好像它争不过tel.xls.exe这类小丑...有空儿反汇编看看就知道了~