昨天在公司上班发生了一件有趣的事情。快要下班的时候,一个好友在msn上突然发了一个.zip的文件给我。我收下后发现里面是一个名叫newPhoto38.JPG_www.facebook.com的可执行程序,基于现在的各种病毒程序肆虐的网络环境,对于外来的可执行程序当然本能地会有所警惕。于是就发了条消息问他发来的是什么东西,结果等了好久他都没有回我。因为和他关系很好,基于对他的信任,我还是双机了那个.com程序。结果意想不到的事情真的发生了。 在我双击好那个程序之后,它居然把自己删除了……这一异常的反应,立即引起了我高度的警觉。直觉告诉我它一定是在别的地方生成了另一个程序或者是把自己拷贝到了别的地方。而如果是这样,那它一定不是普通的应用程序。结果过了不到半分钟,我的防火墙侦测到"c:/windows/system32/"下有一个叫做chkdsker.exe的程序要求访问网络,防火墙请求我是否允许该次访问。直觉告诉我这个程序可能就是刚才那个程序释放出来的子程序,并且很有可能就是一个恶意程序。我当即阻止了该次的网络访问。但是事情并没有这样结束!因为现在而言,该程序只是不能访问网络而已。那它会不会是一个木马或是病毒呢?我的心里出现了一个大大的问号!但是瑞星杀毒软件并没有任何病毒提示呀!正当我带着疑问的时候,该程序又一次请求了网络连接,同样地再次被防火墙拦下。接着同样的事情在我电击阻止后不断地发生。我知道,此时该程序已经的进程已经在内存中了,并且处于激活状态。我开始去“c:/windows/system32”下找该文件,结果只找到一个叫做chkdsk.exe的程序,并没有发现chkdsker.exe的程序,可是防火墙的路径明明指向的是该文件夹呀。我开始觉得事态变得严重起来了。因为该程序正在运行,而我却找不到它,该怎么办呢?我打开了Google,搜索“chkdsker.exe”的程序,在经过几番搜索后并为发现有用户对该程序名的病毒的相关报告。于是,我又去了瑞星官方网站搜索一番后也一无所获。无奈,我将原始的.zip“病毒”样本送到了上报至了瑞星,希望能够得到专家的解答。随后即将网线拔了,生怕有什么意外程序窃取我的电脑上的个人信息(账户、密码、公司数据等)。 我以为事情就这样结束了,但坐在那思考的时候突然想起,该程序会不会是把自己变成了系统文件呢?然后再隐藏了呢?在这个思想的指导下,我打开了cmd。进入到 "%systemroot%/system32"下,查找 dir /A:SH chk*.exe。结果果然发现了一个名叫chkdsker.exe的程序,属性为SHR(系统、隐藏、只读),哈哈,终于被我找到了,看来防火墙并没有说错,确实在这个目录下。既然找到了病毒程序,接下来当然是开始手动清除病毒啦。:) 因为该程序已经在内存中了,并且占据了进程,并且出去监听状态,因此普通地直接删除该文件是不行的,必须要先把病毒进程关了才行。同样打开cmd.运行(winXP下):tasklist /svc >> c:/taskList.txt 将当前的进程列表和所有的宿主服务列出后打引到(c:/taskList.txt ),然后到c:/taskList.txt 查找chkdsker,结果发现一个pid为4444的进程名字也就叫做chkdsker.exe(看到这里有点郁闷,早知道直接在进程管理器去看看了),然后输入:taskkill /F /PID 4444 将该进程强行删除,删除后再将system32下的chkdsker.exe的属性变成非系统的、非隐藏的,输入attrib -S -H -R chkdsker.exe,然后再del chkdsker.exe。排毒工作初步完成。接下来是检查整个计算机是否还有该病毒的备份。呵呵,说不定这个不是病毒呢。。。同样cmd: dir /s /A:SH C: 结果未发现其他的该名字的程序。
总结,以上是手动删除病毒的简单的方法。不过如果该病毒释放了一个其他名字的备份的话,那我可就无能为力了,只能借助杀毒软件进行全盘扫描,但是杀毒软件也不一定知道最新的病毒呀。。。怎么办?另外如果该病毒打开了一个操作系统的后门,让他人能够从网络执行我本地上的病毒程序怎呢办?呵呵。想来想去办法只有两个,一是让自己再变强些,能够对操作系统有个更加全面的了解。二是绝对不要接受并电击不明来历的可执行程序。
166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
