最近看到自己的 Blog 访问量也快一万了,谢谢大家的支持。冬天了,昨天还下了2006年的第一场雪,天气逐渐得冷了,增减衣服那不是我要提醒大家的,我要提醒的是给电脑打把伞。不知道为什么,最近好像病毒特别的多,我从来不用杀毒软件,也许是因为它太占系统资源,但似乎电脑也没任何不良迹象,倒霉的是,老婆有着杀毒软件的机子却瘫了,所谓瘫,又不是真正意义上的瘫痪,没有着
CIH 那么巨大而沉重的打击,但是慢,着实是一个让人为之恼火的字,过 G 赫兹的 CPU 跑得像半 G 般“迅速”,成为了“新一代”的迅迟平台,意味着迅速迟缓。老婆的病毒中得太散了,搬出来让我手动清除(她不想格机子)也算还有效果,但回去就又不行了,真是无奈于 Internet 的迅速,格吧,有几天啊刚,我们敬爱的
Worm@Worm.Locked 又来了,使她电脑时就发现不对劲,应用程序的图标总是变成什么
QQ 啊之类的网络软件或游戏的图标,打开任务管理器又看到了以前的(没格机子之前)老伙伴,Mr.
"rundl132.exe" 的进程,这是哪里来的?昨天在看汇编的时候才恍然大悟,TRS,我想老的 MS-DOS 下的程序员都不会陌生吧,就是内存驻留,程序通过写入内存隐藏自己并截获系统事件进行处理,这是 MS-DOS 高级编程的精髓。庆幸的有一点,大部分内存驻留程序的猖狂时代只在 16 位实模式下的 DOS,随着 NT 内核的普及,我们已经进入一个 32 位保护模式时代,像截获按键这样的钩子已不能被允许(Windows 仍可以通过 Hook 来实现),但是其他功能有的还是可以的。有点撤远了,回来说病毒,由于它是驻留在内存中的,所以只能用特殊软件进行清除,但是有一个需要说明的地方,有计算机常识的人都知道,即使它在内存中,断电后也将被清除,那么病毒本身就需要在下次合适的时机重载,这也是一个令人反感的事,我们这位主人公利用了一个方法,绑定 Windows Explorer 以进一步绑定所有可能的 EXE 程序,同时我也发现,老婆的电脑有时在开机时会报“系统时间错误”并要求重设,这样引起两个问题:1. 病毒绑定时间驱动? 2. 病毒故意修改 CMOS 时间,使系统检测到的时间出错运行绑定病毒的设置程序,使病毒重载?不管怎样,它是重载了,而且肯定绑定了某些其他 EXE 程序,否则重装系统后是不会出现病毒干扰的,只有在非系统盘备份的数据也被感染的情况下,这样的事情才会发生,卡巴斯基的反常也帮我验证了这一点。每次,老婆开机时都必须去关掉卡巴,因为这位大仙总会报出不下千余个可执行文件为被感染对象,起初我认为这是卡巴的 Bug,但仔细想想,如此 Bugs 的程序怎么可能出现在著名杀毒软件的行列?这下几乎弄清楚了。但有一个问题,为什么我把移动硬盘借给老婆后,我再回来执行我盘上的 EXE 文件却没被感染呢?还是我命大吧。下面来说说清除吧,新的(2006年11月20日报)病毒变种我没有拿到过,但是旧的清除是非常容易但也非常困难的,因为无法根除。就上面所叙述的,要想根除,除非把电脑上所有的 EXE 文件全部删除,还要删除其它可能的被感染对象,这里面是一定包含系统文件的,所以只能备份些文字、声音、图片之类的,然后 Format 全部盘符,显然太惨,所以这里说一下非根治的方法:
1. 打开 任务管理器,进入 进程 选项卡,终止 rundl132.exe 进程。(有可能是其它名,如 logo1_.exe)
2. 删除 Windows 目录下(有可能在其它目录)的 rundl132.exe
3. 在 Windows 目录 新建一个 文件夹,注意,一定是 文件夹,命名为 rundl132.exe,将其属性设为 系统+ 隐藏
这样就应该可以了,如果去格机子,格好后也一定要新建一个文件夹,以防再次感染。还没给老婆试过这个呢,回头试试。同时也向倒霉的朋友们致以最亲切的慰问,这是我写的比较易懂的技术了吧,别老说我的文章看不懂,去检测一下各位的机子吧。这里有一个小 Note,一般恶意程序、流氓软件会是 DLL 形式,它们的运行需要 rundll32.exe 的支持,而很多程序就把自己伪装成一个文件名与之类似的文件以蒙混过关,当然,如果你发现你的进程列表中有 rundll32.exe 的身影,也不一定是有病毒,大众化的,如果你安装过 nVIDIA 的驱动你会清楚这一点。
下面以 "rundl132.exe" 为文件名为例写一个批处理文件,解决一下病毒的问题,思路如上:
@echo
清除工具 Build200611262251 - Wei CHEN
@echo
I Love WYC!
@TASKKILL /F /IM rundl132.exe /
T
@DEL /F /Q C:/WINDOWS/rundl132.
exe
@MKDIR C:/WINDOWS/rundl132.exe/
@
ATTRIB +S +H C:/WINDOWS/rundl132.
exe
@echo on
@echo
清除完成!
@pause
把以上代码复制、粘贴到记事本中,并另存为
filename.BAT 即可运行。
1. 打开 任务管理器,进入 进程 选项卡,终止 rundl132.exe 进程。(有可能是其它名,如 logo1_.exe)
2. 删除 Windows 目录下(有可能在其它目录)的 rundl132.exe
3. 在 Windows 目录 新建一个 文件夹,注意,一定是 文件夹,命名为 rundl132.exe,将其属性设为 系统+ 隐藏
这样就应该可以了,如果去格机子,格好后也一定要新建一个文件夹,以防再次感染。还没给老婆试过这个呢,回头试试。同时也向倒霉的朋友们致以最亲切的慰问,这是我写的比较易懂的技术了吧,别老说我的文章看不懂,去检测一下各位的机子吧。这里有一个小 Note,一般恶意程序、流氓软件会是 DLL 形式,它们的运行需要 rundll32.exe 的支持,而很多程序就把自己伪装成一个文件名与之类似的文件以蒙混过关,当然,如果你发现你的进程列表中有 rundll32.exe 的身影,也不一定是有病毒,大众化的,如果你安装过 nVIDIA 的驱动你会清楚这一点。
下面以 "rundl132.exe" 为文件名为例写一个批处理文件,解决一下病毒的问题,思路如上:
@echo
清除工具 Build200611262251 - Wei CHEN@echo
I Love WYC!@TASKKILL /F /IM rundl132.exe /
T@DEL /F /Q C:/WINDOWS/rundl132.
exe@MKDIR C:/WINDOWS/rundl132.exe/
@
ATTRIB +S +H C:/WINDOWS/rundl132.
exe@echo on
@echo
清除完成!@pause
扫一扫
1308
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
