昨天想找个Stop Motion Pro 6.5注册版，在emule上搜索出几个结果，下载了，打开压缩包，想也没想就运行了执行文件，虽然是有nod32警告是bagle变种，但好像没完全挡住。再重启之后，机器已经中招了。
关于这个bagle变种，很多是伪装成某些软件，然后让人下载....运行。所以在emule里搜东西要小心。而且我中的是最新变种，也就是几天前才出现的，所以google的时候可能很多解决方案已经不适用了。

bagle在启动时会抢先杀掉众多杀毒软件，还会让hijack等诊断软件失效（会说hijack与icesword是无效32位程序，会让gmer很快被关闭，等等)，加入在管理里看不到的服务，在进程里启动隐藏进程等等，所以搞起来很麻烦，甚至还会蓝屏(在我用ProcessGuard这个软件企图监控进程时反复蓝屏)。似乎以前的版本还不允许进入安全模式，一进就蓝屏。不过我是vista进安全模式没事。

这版bagle主要有几个东西
1.windows/system32/mdelk.exe
2.windows/system32/wintems.exe
3.user/administator/appData/roaming/m/flec006.exe
4.user/administator/appData/roaming/m/shared
5.windows/system32/drivers/downld/xxxxxx.exe (xxxx为随机数字)
6.windows/system32/drivers/srosa.sys


srosa.sys是核心，如果不把这个东西除掉，1/2/3/4/5会没完没了的产生。1/2/3/4/5比较弱，在安全模式下除掉的话，如果不联网话，基本上不会再生，但一联网就会自动被下载很多东西。flec006会让m/shared里产生大量的伪装成某某软件破解或正式版的压缩包，里面就是病毒文件，也就是这东西会在emule上被认为是软件让人下载。drivers/downld目录下会出现大量的以随机数字为名的exe，越来越多。这些东西会把你的系统搞的越来越不安全，而且不能使用很多杀毒或系统级的诊断工具。
起初我杀来杀去都是杀那些exe，后来发现srosa.sys才是根本。这东西在安全模式下删掉还会被复制，而registry里能查到的与srosa.sys有关的删不了，就算想办法删了重启后还会出现。后来找来找去找到了srosa.sys的源头。目前似乎是安静下来了

具体办法
事先下好gmer与Elibagle这两个小软件，用来辅助侦测bagle有没有清干净。使用cmd为主要操作模式，因为很多目录是隐藏的在资源管理器里看不到。
1.拔掉网线，必须的，不然他们会随时下载复活那些东西。
2.先尽可能的去1-6的地方把能删除的先都删除了
3.卸载你的杀毒软件，因为可能已经被破坏了
4.启动到安全模式，把1-6提到的所有文件都删除
5.到user/adminitrator/appdata/local/microsoft/windows/temporary internet files/content.ie5中，执行“dir b64*.jpg /s”，把含有b64开头的jpg文件的目录都删除。因为srosa.sys就是由这些伪装成b64_1.jpg、b64_[2].jpg之类的文件生成的。
6.启动到普通模式，分别运行gmer与Elibagle，应该已经看不到bagle相关的衍生物了。这时候安装你的杀毒软件，最好是包含最新病毒定义的版本，我安装的是nod32包含080701的定义。由于没有srosa.sys的启动，杀毒软件可以使用了，杀一遍毒。
7.重新启动，这时候各大杀毒软件的服务也能启动了。趁这个时候把防火墙也设置严格一点。然后插上网线，马上更新病毒定义，再杀一遍。
8.用cmd不断观察1-6的地方是否有那些文件复活，也严格监视防火墙的情况，以免隐藏的什么东西又去奇怪的地方下复本。

[ 本帖最后由 stryker 于 2008-10-20 00:23 编辑 ]

hijack改任意.exe都可以
icesword版本可能有问题。中毒中自然是32位无效程序了，改个名字说初始化错误，我觉得可能是不能改名，但没想到清了毒还这样.....

我觉得将b64.jpg变为srosa.sys必然在某个地方还是有个东西在残留的，比如在服务中或是注册表里，不然将srosa.sys删除后它是怎么从b64过来的？很想把这个查出来清掉。hijack好像看不出来哪个有问题。

好，回头试试！