这周四晚上发现家里的机器弹出了一个很奇怪的网络广告,感觉自己的机器(Windows XP SP2)像是中毒了。对于染毒的机器,我们一般都是忍气吞声, 再不就是重装系统,可是我这次我愤怒了,今天我拿起了武器(IceSword),向流氓反击了。
这周四晚上发现家里的机器弹出了一个很奇怪的网络广告, 感觉自己的机器(Windows XP SP2)像是中毒了。于是我使用MSConfig查看,发现有陌生的程序F46082.exe在程序启动项中从"XXX「开始」菜单程序启动"启动,开始我还以为这流氓软件还挺技术水平低级的,简单删除那个可执行程序就OK了。
后来折腾了2个小时,我才知道这个程序不简单了。
我首先是尝试通过MSConfig在系统初始化的时候不初始化启动项,但是当我启动系统之后,发现那个F46082.exe序还是在“ 程序启动”目录下面,我一删除F46082.exe,这个文件又会被创建出来。于是推断现在系统中还有其他的进程正在监视这些目录。
由于我没有加载其他的服务,通过TaskMgr查看,基本的exe就只剩下explorer了, 于是我就尝试在
TaskMgr中把explorer.exe进程杀死,启动cmd.com.
哈哈这时候病毒的原形开始显露了, 我在TaskMgr中看到了两个陌生的进程ADSAL.exe和LASTSTART.exe,且在“ C:” 下面找到了这两个exe。
现在目标就比较明确了,由于时间以晚就去睡觉了。第二天上网查找这两个进程名,发现了一个有意思的事情。开始我使用的google,键入没有查出任何结果。后来使用baidu,喔,一堆网页出现了。看来这病毒也挺有中国特色啊。
简单查找之后 发现几个链接,和我所看到现象很类似于是记录下来。简单看了一下,这个流氓现在也功力不小,还有了搞垮目前比较流行的杀毒软件的能力。
129015.exe ShellExecuteHooks QQ盗号系列病毒
病毒system.jmp system.sys WinHook.sys WinHook.jmp的分析与查杀
可以确定的是这一病毒程序是通过explorer.exe加载起来的,修改注册表KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
{B6FBB068-0684-8406-26FB-42426B0684FB}
{6FB08426-8426-FB06-26FB-426B0426FB06}
达到运行启动的目的,我们只需要清除对应的dll基本上就没又什么问题了。
C:Program FilesCommon FilesSYSTEMB6F40826.dll
C:Program FilesCommon FilesMicrosoft SharedMSINFO8426FB06.dll
C:Windowstemp2.dll
有关DLL后面的入门文章
我遇到应该是这个病毒的变种,但是基本的原理是相同的。有了上面的信息就涉及的手工删除病毒的操作了。原本想把系统启动到安全模式,通过手工删除,可无奈的 是我的机器Windows XP SP2还不能直接进入。于是就在找了一些相关工具软件的链接。
在这里强力推荐 清除流氓软件的第一利器(IceSword)
其强力的删除文件功能给我留下的很深的印象,也满足了我在不进入安全模式要删除文件的要求。
4754
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
