实例教你如何使用“冰刃”ICEWORD

用IceSword端掉毒窝

作者：  baohelin（卡卡社区反病毒版版主）


最近，病毒“窝案”较常见。

比如下面这个例子（日志见：http://forum.ikaka.com/topic.asp?board=28&artid=8245507）：一窝病毒/木马光顾您的系统，杀软也未必能搞掂。此时，正式IceSword展示其威力的机会。

（IceSword的下载地址：http://www.blogcn.com/user17/pjf/blog/44570897.html）

手工杀毒操作的具体步骤如下：

一、用IceSword 分类处理下列进程:

第一类：被病毒模块插入的系统核心进程。
这类进程不能结束，否则，系统崩溃。
乱插进程的病毒难以对付，原因在此。
用IecSword，可以这样做：
在IceSword的面板上点击“文件”、“设置”；勾选“禁止进线程创建/禁止协件功能”，点击“确定”。然后，按进程名或PID（进程号）找到下列进程，强制卸除插入的病毒模块C:\WINDOWS\136741M.BMP和C:\WINDOWS\system32\WSD_SOCK32.dll。
[PID: 744][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 796][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 808][C:\WINDOWS\system32\savedump.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 816][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1004][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1092][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1196][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1288][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1376][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2264][C:\WINDOWS\system32\sevchost.exe] [Microsoft Corporation, 5, 0, 0, 0]
[PID: 224][C:\WINDOWS\system32\sevchost.exe] [Microsoft Corporation, 5, 0, 0, 0]
第二类：病毒进程。
要想删除病毒文件及其注册表加载项，必须先用IceSword结束这些进程：
[PID: 448][C:\WINDOWS\uninstall\rundl132.exe] [N/A, N/A]
[PID: 476][C:\Program Files\Common Files\{08831C2E-063C-2052-0727-060502060056}\Update.exe] [N/A, N/A]
[PID: 500][C:\WINDOWS\system32\wdfmgr32.exe] [N/A, N/A]
[PID: 512][C:\Program Files\Common Files\System\Updaterun.exe] [N/A, N/A]
[PID: 3996][C:\WINDOWS\system32\ systemi.exe] [BenQ, 1.00]
[PID: 2468][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 2788][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 3480][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 3528][C:\Documents and Settings\All Users\Templates\temp.exe] [N/A, N/A]
[PID: 3784][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 1188][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 2140][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 3976][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
[PID: 1744][C:\WINDOWS\system32\ravmod.exe] [Microsft Corporation, 6, 0, 3790, 1830]
第三类：被病毒插入的普通应用程序进程：
这些进程已经被病毒模块插入。如果不结束这些进程，病毒文件不能删除。可以用IceSword结束这些进程：
[PID: 1592][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 176][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 340][C:\program files\internet explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180
[PID: 568][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180
[PID: 1340][C:\WINDOWS\system32\Media\services.exe] [N/A, N/A]
[PID: 1636][C:\WINDOWS\system32\nvsvc32.exe] [NVIDIA Corporation, 6.14.10.8293]
[PID: 1852][C:\WINDOWS\system32\Svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2396][C:\program files\internet explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2620][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 2904][C:\WINDOWS\system32\rundll32.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 3124][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 3456][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 3864][C:\program files\internet explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 532][F:\Maxthon\Maxthon~.exe] [Maxthon International Ltd., 1, 5, 7, 82]
[PID: 356][C:\WINDOWS\system32\wbem\wmiprvse.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 3264][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
[PID: 1180][F:\sreng2\SREng\SREng~.exe] [Smallfrogs Studio, 2.2.6.605]

二、用IceSword处理完上述进程后，即可用IceSword删除下列病毒文件：
C:\WINDOWS\system32\NTService32.dll
C:\Program Files\real\adx.exe
C:\WINDOWS\system32\IeBar1.dll
C:\WINDOWS\uninstall\rundl132.exe
C:\Program Files\Common Files\{08831C2E-063C-2052-0727-060502060056}\Update.exe
C:\DOCUME~1\zhao\LOCALS~1\Temp文件夹中的所有文件
C:\WINDOWS\system32\Systemi.exe
C:\WINDOWS\system32\wdfmgr32.exe
C:\Program Files\Common Files\System\Updaterun.exe
C:\WINDOWS\136741M.BMP
C:\WINDOWS\system32\3DFDF19A.EXE
C:\WINDOWS\system32\67481948.EXE
C:\WINDOWS\system32\aqxyy.dll
C:\WINDOWS\system32\nsvce32.exe
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\NTService32.dll
C:\PROGRA~1\COMMON~1\dtes\kxlg.dll
C:\WINDOWS\SYSTEM32\WBEM\BMADY.DLL
C:\WINDOWS\system32\drivers\ajifcfbf.sys
C:\WINDOWS\system32\DRIVERS\msprotect.sys
C:\WINDOWS\System32\DRIVERS\naqbas29.sys

右击D盘盘符，点击“打开”。删除D盘根目录下的Autorun.inf和mplay.com

C:\WINDOWS\system32\WSD_SOCK32.dll（用WinsockxpFix.exe修复）

三、最后，用IceSword删除注册表中的下列内容：

启动项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<adx.exe><C:\Program Files\real\adx.exe> [Microsoft Corporation]
<IEBarUp><RunDll32 "C:\WINDOWS\system32\IeBar1.dll",Run> [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
<{08831C2E-063C-2052-0727-060502060056}><"C:\Program Files\Common Files\{08831C2E-063C-2052-0727-060502060056}\Update.exe" te-110-12-0000049> [N/A]
<zts2><C:\DOCUME~1\zhao\LOCALS~1\Temp\zts2.exe> [N/A]
<rxzs><C:\DOCUME~1\zhao\LOCALS~1\Temp\rxzs.exe> [N/A]
<mhs2><C:\DOCUME~1\zhao\LOCALS~1\Temp\mhs2.exe> [N/A]
<wlzs><C:\DOCUME~1\zhao\LOCALS~1\Temp\wlzs.exe> [N/A]
<><C:\WINDOWS\system32\Systemi.exe> [N/A]
<wdfmgr32><C:\WINDOWS\system32\wdfmgr32.exe> [N/A]
<System><C:\Program Files\Common Files\System\Updaterun.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><136741M.BMP> [N/A]


服务：
[3DFDF19A / 3DFDF19A]
<C:\WINDOWS\system32\3DFDF19A.EXE -service><Microsoft Corporation>
[67481948 / 67481948]
<C:\WINDOWS\system32\67481948.EXE -service><Microsoft Corporation>
[COM+ Messages / COM+ Messages]
<"C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000049><N/A>
[Remote Registry Protect / Patterns]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\aqxyy.dll><Microsoft Corporation>
[pl.eeewl.com / pl.eeewl.com]
<C:\WINDOWS\system32\nsvce32.exe><N/A>
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Vsn xnyw Service / xnyw]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\dtes\kxlg.dll,Service><Microsoft Corporation>
[Network IPSEC Connections / SHipING]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\BMADY.DLL,Export 1087><N/A>

驱动程序：
[ajifcfbf / ajifcfbf]
<\SystemRoot\system32\drivers\ajifcfbf.sys><N/A>
[msprotect / msprotect]
<system32\DRIVERS\msprotect.sys><Windows (R) 2000 DDK provider>
[naqbas2 / naqbas29]
<\SystemRoot\System32\DRIVERS\naqbas29.sys><N/A>

有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。


　IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

　1.IceSword的“防”

　打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。




图1



　2.IceSword的“攻”

　如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。
前段时间，笔者某位朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……

　第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。





图2



   别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影(见图3)。





图3



　第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。



                        
图4

                                                                    
第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSw

ord也提供查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下.  



图5


　第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

　上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

　还等什么，这么好用、强悍的“瑞士军刀”，还不赶快准备一把防身？