跟alman病毒战斗

今天发现中了Virus.Win32.Alman病毒病毒，与之战斗了一个下午，将过程大概描述一下，希望能给大家提供一个参考。  
 
卡 巴斯基、symantec、nod32可以识别，斯基经过反复查杀可以清理掉，不过exe就完全损失了，需要重新安装。nod可以隔离，但是清理效果很不 理想，exe也是无法继续使用了。symantec能够清理病毒，至于exe是否还能正常使用没有具体去试，忽略而过。 
 
行为：创建linkinfo.dll于windows目录 
              apphelps.dll于windows\apppatch目录 
              riodrvs.sys于windows\system32\drivers
        创建riodrvs服务
        注入explorer.exe
       
特点：也是这个病毒最与众不同之处，是本人唯一见过的奇怪现象，用了很多工具，只能看到apphelps.dll这一个文件，另外两个不但文件看不到，连进程都看不到，但是杀毒软件会发现它们。
 
相关工具：Wsyscheck  
              sreng2  
              Pocket KillBox【剑盟推荐用xdelbox，可惜俺们硬盘全部是ntfs格式，不能用它】
              ProcessExplorer【冰刃无法运行，说个题外话，冰刃自身保护太脆弱了，太多的病毒让它无法运行，而其他的工具比它坚挺的多了】 
              剑盟AlManFix
              nod32
 
相关过程：全部在断网中进行
 
1、进入安全模式，用sreng修复若干入口点错误，并运行一次自动修复；
用killbox强行删除apphelps.dll，禁止创建；  
删除riodrvs服务；  
安装nod32，重启进入正常模式，扫描并隔离染毒exe；
用剑盟AlManFix修复染毒exe
此为第一次试验过程，隔了一段时间，无效，nod再次提示原染毒exe感染。
 
2、再次观察，apphelps.dll不再创建，killbox生效；
Wsyscheck结束所有红色进程，并观察winlogon和explorer、svchost进程模块，终于发现linkinfo和 riodrvs.sys，创建安全环境，删除之；  
原来删除的riodrvs服务又还原了，再次删除该服务；  
重启进入正常模式，再次用nod扫描，并用剑盟工具修复exe
此次较为理想，不再出现提示，不过exe修复工具或许是因为针对的是Virus.Win32.Alman.a，对于我中的b基本没作用，染毒的exe仍然无法修复，目前只能重装了，好在只是那几个固定的exe染毒，问题不大。 
 
3、自己处理的同时观察旁边同事用卡巴斯基7.0清理的过程，司机全盘扫描了三次，才完全清除了该病毒，但是所有染毒文件全部完蛋

来源：http://www.cnxhacker.com/Article/safe/other/200707/10293.html

参考：http://hi.baidu.com/wuyuzegang/blog/item/220e6a4af81dbe2209f7ef8c.html