ghost以後仍然中病毒----與病毒的鬥爭

ghost以後仍然中病毒----與病毒的鬥爭
個人電腦系統是XP，歷來都沒有安裝任何殺毒軟件，全部的軟件都是安裝在C盤的，感受系統卡頓就用Windows一鍵還原（基於DOS下的ghost）還原一下，一直這樣挺好的。
2017年春節後，忽然發現就是用ghost還原以後，也不行了，系統很快又中病毒，具體表現爲：
一、排除了備份的gho系統中毒，由於這個gho系統用了兩年多了一直沒問題。
二、ghost後仍然中病毒，懷疑是否是鬼影病毒、機器狗、威金病毒，用diskgenius重建MBR，而且清除保留扇區，恢復後無果證實不是鬼影。搜索了C盤隱藏文件沒有pcihdd.sys文件，也不是機器狗。搜索威金病毒感染標誌_desktop.ini文件，也沒有，證實不是威金病毒。
查看C:\WINDOWS\system32\drivers\etc\hosts文件內容：
127.0.0.1 ZieF.pl
恢復後修改成127.0.0.1 localhost，仍然感染。
三、開始運行cmd，有時沒法輸入任何字符。
四、感染後，用msconfig查看非Microsoft系統服務，裏面增長了Volume shadow copy和Application L??? G???(名字記不清，不是微軟的Application Layer Gateway Service)服務，應該是病毒的服務。
五、搜狗瀏覽器高速模式沒法打開任何網頁，IE兼容模式能夠打開，有個黑色的彷佛是cmd窗口一閃而過，網頁排版混亂有空格。
六、smart install maker打包生成exe文件後，沒法正常打開，提示不是標準的win32程序。
七、用SREng掃描，打開的時候就提示入口點錯誤，修復後再次打開，仍然有提示。
SREng掃描提示Explorer.exe、userinit.exe、logonui.exe、ie4uinit.exe、spoolsv.exe、conime.exe、Windows桌面更新等文件被感染。
API HOOK
入口點錯誤：NtCreateFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF93F86)
入口點錯誤：NtCreateProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94015)
入口點錯誤：NtCreateProcessEx (危險等級: 高, 被下面模塊所HOOK: 0x7FF94022)
入口點錯誤：NtQueryInformationProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94063)
入口點錯誤：ZwCreateFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF93F86)
入口點錯誤：ZwCreateProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94015)
入口點錯誤：ZwCreateProcessEx (危險等級: 高, 被下面模塊所HOOK: 0x7FF94022)
入口點錯誤：ZwOpenFile (危險等級: 高, 被下面模塊所HOOK: 0x7FF9400B)
入口點錯誤：ZwQueryInformationProcess (危險等級: 高, 被下面模塊所HOOK: 0x7FF94063)
==================================
啓動項目
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Infected) Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Infected) Microsoft Corporation]
<UIHost><logonui.exe> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Infected) Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Infected) Microsoft Corporation]
==================================
正在運行的進程
[PID: 1664 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Infected) Microsoft Corporation, 5.1.2600.6024 (xpsp_sp3_qfe.100817-1627)]
[PID: 324 / Administrator][C:\WINDOWS\Explorer.EXE] [(Infected) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[PID: 3544 / Administrator][C:\WINDOWS\system32\conime.exe] [(Infected) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
==================================
進程特權掃描
特殊特權被容許： SeLoadDriverPrivilege [PID = 908, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特權被容許： SeLoadDriverPrivilege [PID = 1664, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特權被容許： SeLoadDriverPrivilege [PID = 324, C:\WINDOWS\EXPLORER.EXE]
特殊特權被容許： SeLoadDriverPrivilege [PID = 3544, C:\WINDOWS\SYSTEM32\CONIME.EXE]
特殊特權被容許： SeLoadDriverPrivilege [PID = 2680, C:\PROGRAM FILES\MDIE\MDIE_CN.EXE]
八、用Windows清理助手ArSwp3標準掃描，發現C:\WINDOWS\及C:\WINDOWS\system32\下的系統文件被修改，好幾個是核心文件：
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\system32\smlogsvc.exe
按照ArSwp3的提示，從備份的C盤的gho文件中提取上述文件，放到F:\bak\arswp3\sif目錄下，而後進行清理，ArSwp3清理後自動重啓，並把上述文件恢復到系統中，但系統仍然是中毒狀態，仍然有前面的各類中毒表現。
C:\WINDOWS\system32\dllcache\下面對應的同名文件也提示被感染。
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Win32Pad\win32pad.exe
C:\WINDOWS\system32\dllcache\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\inf\unregmp2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\
C:\Program Files\Outlook Express\setup50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}\
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}\
C:\WINDOWS\system32\dllcache\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllcache\winhlp32.exe
C:\WINDOWS\system32\winhlp32.exe
C:\WINDOWS\system32\dllcache\hh.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\system32\dllcache\regedit.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\dllcache\mmc.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\dllcache\clipsrv.exe
C:\WINDOWS\system32\dllcache\mnmsrvc.exe
C:\WINDOWS\system32\dllcache\smlogsvc.exe
C:\WINDOWS\system32\dllcache\vssvc.exe
C:\WINDOWS\system32\vssvc.exe
因爲ArSwp3認定notepad.EXE和regedit.exe被感染，直接刪除，致使記事本和註冊表編輯器運行不了。
九、把一個病毒樣本上傳到http://virscan.org/進行雲鑑定，發現61%的殺毒引擎認爲有病毒，國內的引擎除360殺毒和百度殺毒外，江民殺毒、金山毒霸、瑞星、安天、費爾、熊貓衛士（總部歐洲）、趨勢科技（總部美日）、安博士V3(總部韓國)都認爲是病毒。
金山毒霸最新版病毒庫，掃描文件總數：194881，只查殺了大約50個病毒,恢復後無果。
在官網下載瑞星殺毒V17，根本安裝不上；
安天主要是網絡安全產品，何嘗試；
費爾是收費的未測試；
卡巴斯基太卡不爽未測試。
下載了江民殺毒速智及離線升級包update.exe，能夠試用一個月。
十、安裝好江民殺毒速智和離線升級包，打開電腦裏面的文件，立刻提示系統文件有病毒，因而利用晚上的時間進行全盤掃描，查殺了2000多個Win32/virut.bn病毒，殺毒後自動重啓，次日起來看看，sim編譯打包的exe文件仍然沒法運行，證實系統仍是有病毒，因而再次用ghost恢復到乾淨的系統，恢復的時候，江民再次提示C:\WGHO\GRUB等目錄的文件被感染並殺掉，恢復完畢，再次sim編譯打包的exe就能夠運行了，搜狗瀏覽器高速模式也正常，至此，問題解決。
從以上與該病毒的鬥爭中發現，C盤雖然恢復後沒有病毒了，可是由於其餘盤符裏面的exe文件已被感染，再次運行染毒文件，C盤的不少系統文件就會很快地被感染，並且病毒駐留內存，乘機感染打開的文件，形成許多程序運行異常，該病毒感染速度極快，東方微點主動防護沒法預防，免費的金山毒霸沒法全殺，自從金山毒霸免費後，感受愈來愈不行了！最後用江民殺毒全盤殺毒，並且還恢復了一次纔算完全解決！在此向江民殺毒表示忠心感謝！若是殺毒軟件不能完全殺滅非系統盤病毒，即便恢復C盤，重啓後病毒仍然會死灰復燃，主動防護類新概念防毒軟件根本沒法完全殺滅病毒，其本質實際上是永遠被動地防護病毒的入侵，根本防護不了，沒法造就一個完全乾淨的系統環境。所以，基於文件感染型的病毒，仍是老老實實地用老版的特徵碼殺毒軟件進行殺滅吧，查殺後纔會有一個完全乾淨的系統，推薦在RAMOS中安裝殺毒軟件，利用晚上的時間進行全盤查殺，而後進入PE進行恢復，不要用備份在硬盤上的ghost.exe來恢復，由於備份的ghost.exe可能有病毒。