愚人节刚过,下班回家,就听朋友说我电脑过几秒就嘟一下过几秒就嘟一下,打开进程一看,天阿,什么3.exe,6.exe一大堆...,问下朋友是不是上了什么xx网,朋友很无奈的说没有,只是再人才网上逛了逛.由于我一向自恃清高,电脑也是一直裸奔,糟了之后开始杀毒之旅.
先把不认识的进程全部干掉,电脑不嘟了,打开启动项一看吓一跳,以前3.4项,现在10多项再里面!,c:\有个config.exe干掉,还有一些exe,去找的时候已经没有了,估计自杀了或者被其他病毒干掉了,临时目录下有些rundll132,update之类的东西,删掉,program files里面的windows updata下有些1 2 3 4 5 6 7之类的东西,删掉.重启电脑,干净了些,再开冰刃,仔细查看进程,发现c:\sys2121之类的目录下还有N个svchost进程,dos下居然看不到文件,还有rootkit功能-_-#,幸运的是直接再我的电脑里能看到这几个文件夹,先结束掉进程,删掉里面的ghook.dll和svchost.exe,查看服务,发现孩多了个Thom什么的服务,也一起删掉.再复查,没有残留项了,病毒清理完成
简单分析下ghook和svchost,dll的功能是写注册表添加服务,svchost是到一个指定的网站去下载另外那一大堆病毒,网上找了找,估计是中了0Day的ani漏洞,现在0day的也太...一点游戏规则都不讲了,出个东西就拿出来赚钱,导致病毒木马蠕虫大规模的泛滥,这次是这个下次绑个rootkit就麻烦了-_-#!!强烈BS
发表于 @ 2007年04月03日 10:38:00|评论(loading...)|编辑