昨天在网上找本THE C++ PROGRAMMING LANGUAGE 的电子书。在一个网站上的下载地址上点了之后就直奔下一个网站了(因为一般都不能下载,得多找几个)。过了一会FF提示下载完了,也没仔细看就点了打开。点完了才发现是个EXE文件。心想不好。果然,MCAFEE提示有病毒了。它也自动杀了,就没当回事。(因为很相信MCAFEE)。没想到过了半个小时后,突然死机了。(也没全死,就是巨慢无比)。意识到问题不简单,重启。
重启后问题就很明显啦,莫名其妙的多了一些奇怪进程(10000.exe,12345.exe,...),机器变慢。比较过份的是360SAFE也启不来了。心想现在的木马病毒真先进,这么有针对性。最可气的是进程里还多了个RAVMOND.exe的进程。众所周知这是瑞星的监控进程啊。NND,太过分了。
接下来还是老一套,关进程。找出当天新建或修改的文件,找出疑似的文件,删。看服务里有个什么1FXXX的服务,先停了,然后到注册表里搜索这个1FXXXX的关键字,找到了,但提示删不了。这点小伎俩,唉。。。点右键,选权限,把写入的勾打上,删了。这个服务就再也看不到了。重启。
重启后发现刚才删的几个文件还在。老办法:删了,再建个TXT,命名成和病毒文件一样的文件,属性写成只读。再重启。没想到出现新问题:进了系统后,输密码登录,弹出错误对话框“WINDOWS产品。。。。” 具体内容记不清了,反正是关于产品激活的。仔细一想,估计是刚才有一个文件删了后用新建的TXT顶替,又写成了只读造成的。如果估计的没错的话,应该是那个wpa.dbl的文件。这时已经是下班后快两个小时了。不管了,明天再说。
第二天一来,要了张引导光盘。引导起来,老不玩DOS,不熟了啊。进去用DEL删,删不掉。改属性是哪个命令来着?想了半天,眼看就要去别人机器上GOOGLE一下了。想起来了,ATTRIB 。敲ATTRIB -R WAP.DBL。结果说这个命令不能在DOS下用。晕。算了,直接有DELTREE,搞定。再重启,能进入系统了!
进去后又是一气查找和杀。不过成果不大。真无计可施时,又想起了360SAFE。就把它又重装了一下。结果还是不能用。正准备放弃时,看到360的网站上有个CHECK工具。心想死马当活马医。先下下来了。一边检查,一边又找其它工具。发现服务器上还有个“注册表启动项修复工具”的软件,也找开看看。发现了有几项在MSCONFIG 里看不到的启动项,删了。点BHO,发现SHELLEXECUTEHOOK里有几项是陌生的,删了。这时360的检测报告也出来了。
360的检测报告最后部分是几个比较奇怪的:“hmgoxn02”,这个一看就是和之前的病毒一个系列的。相关的文件是“C:/WINDOWS/System32/DRIVERS/hmgoxn02.sys”。还有“C:/WINDOWS/System32/DRIVERS/lqqyxu.sys”,“ C:/WINDOWS/system32/drivers/lyknio.sys”“C:/WINDOWS/System32/DRIVERS/pcnnaq.sys ”(这个是隐藏的启动项里都有的)。一个个删,提示正在使用,用UNLOCKER解锁。全删掉后,重启。
这次重启后,基本上没问题了。没有奇怪的进程,360也能启动了。用360又找了一遍可疑的插件什么的。疑似的就给它干掉。再重启。搞定!
回顾一下:第一天做的工作基本无效和。因为现在的病毒木马都很先进了。复制、隐藏、关联、守护,都做得很好。单纯的删和改注册表可能都不能解决问题。第二天的工作才是关键,找到隐藏的启动项,以及和病毒相关的SYS文件并删除之,才能真正解决问题。
重启后问题就很明显啦,莫名其妙的多了一些奇怪进程(10000.exe,12345.exe,...),机器变慢。比较过份的是360SAFE也启不来了。心想现在的木马病毒真先进,这么有针对性。最可气的是进程里还多了个RAVMOND.exe的进程。众所周知这是瑞星的监控进程啊。NND,太过分了。
接下来还是老一套,关进程。找出当天新建或修改的文件,找出疑似的文件,删。看服务里有个什么1FXXX的服务,先停了,然后到注册表里搜索这个1FXXXX的关键字,找到了,但提示删不了。这点小伎俩,唉。。。点右键,选权限,把写入的勾打上,删了。这个服务就再也看不到了。重启。
重启后发现刚才删的几个文件还在。老办法:删了,再建个TXT,命名成和病毒文件一样的文件,属性写成只读。再重启。没想到出现新问题:进了系统后,输密码登录,弹出错误对话框“WINDOWS产品。。。。” 具体内容记不清了,反正是关于产品激活的。仔细一想,估计是刚才有一个文件删了后用新建的TXT顶替,又写成了只读造成的。如果估计的没错的话,应该是那个wpa.dbl的文件。这时已经是下班后快两个小时了。不管了,明天再说。
第二天一来,要了张引导光盘。引导起来,老不玩DOS,不熟了啊。进去用DEL删,删不掉。改属性是哪个命令来着?想了半天,眼看就要去别人机器上GOOGLE一下了。想起来了,ATTRIB 。敲ATTRIB -R WAP.DBL。结果说这个命令不能在DOS下用。晕。算了,直接有DELTREE,搞定。再重启,能进入系统了!
进去后又是一气查找和杀。不过成果不大。真无计可施时,又想起了360SAFE。就把它又重装了一下。结果还是不能用。正准备放弃时,看到360的网站上有个CHECK工具。心想死马当活马医。先下下来了。一边检查,一边又找其它工具。发现服务器上还有个“注册表启动项修复工具”的软件,也找开看看。发现了有几项在MSCONFIG 里看不到的启动项,删了。点BHO,发现SHELLEXECUTEHOOK里有几项是陌生的,删了。这时360的检测报告也出来了。
360的检测报告最后部分是几个比较奇怪的:“hmgoxn02”,这个一看就是和之前的病毒一个系列的。相关的文件是“C:/WINDOWS/System32/DRIVERS/hmgoxn02.sys”。还有“C:/WINDOWS/System32/DRIVERS/lqqyxu.sys”,“ C:/WINDOWS/system32/drivers/lyknio.sys”“C:/WINDOWS/System32/DRIVERS/pcnnaq.sys ”(这个是隐藏的启动项里都有的)。一个个删,提示正在使用,用UNLOCKER解锁。全删掉后,重启。
这次重启后,基本上没问题了。没有奇怪的进程,360也能启动了。用360又找了一遍可疑的插件什么的。疑似的就给它干掉。再重启。搞定!
回顾一下:第一天做的工作基本无效和。因为现在的病毒木马都很先进了。复制、隐藏、关联、守护,都做得很好。单纯的删和改注册表可能都不能解决问题。第二天的工作才是关键,找到隐藏的启动项,以及和病毒相关的SYS文件并删除之,才能真正解决问题。
2221
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
