爱机的裸奔时代之终结－－我的杀毒日志

              爱机的裸奔时代之终结－－我的杀毒日志

      连续两天的战斗终于告终，我没有被病毒搞崩溃，我的系统没有被病毒搞崩溃，病毒被我和我的系统搞崩溃了，爱机的裸奔时代终于结束！
      从病毒文件的创建日期可知，我的计算机是在一月初感染上病毒的。
记得当时的症状是打开网页时自动弹出广告窗口，一直没有在意，直到有一天掉出任务管理器时发现任务管理器一闪而过，知道不好中招了！
      当时只是用IceSword＆hijackthis作了简单的处理，一切表明现象都消失了，时值学校放假就放心的回家过年去了。
      假期同学用了我的机器，开学回来后发现问题严重了！
主要症状有：
1.默认网页被恶意篡改为：www.96***.com ,设为空白后就自动被篡改
2.在桌面上创建“DJ×××”的网页快捷方式，删除后有自动被创建
3.开机自启动IE进程，但并没有ie浏览器窗口，还有一个serivces(注意不是系统的services)进程（用IceSword查看两个进程用红色标识）
4.每次关机总有十几个系统更新要安装（以前也就几天才有一个要安装）
5.“显示隐藏文件”失效，设置显示隐藏后点确定马上被该为不显示。
6.启动项里有可疑程序被启动。

      杀毒经历如下：
      第一天白天：
      关闭系统还原，用IceSword＆hijackthis结束进程，修复注册表，删除启动项里的可疑程序，删除桌面上的恶意网页快捷方式，清楚网页的临时文件，重启，网页问题照旧，启动项里的可以程序被清除，serivces被清楚，“显示隐藏文件”问题照旧，非法IE进程照旧。
如此重复多次，效果同样！
      用学校的趋势在线杀毒，有新的发现：
1. c:/documents and Settings/"username"/local settings/temp 以及下面的子目录里有n多名字怪怪的可执行文件和动态连接库文件带毒，删！
2. C:/Program Files/Common Files/Microsoft Shared/MSInfo/ IEINFO5.sys IEINFO5.bat 感染病毒，但无法清楚
       处理方式：关闭所有网页和窗口，用IceSword查看各进程的模块信息，如果发现有加载该文件者(本人只发现explorer加载了该文件)将该文件强制解除，然后从IceSword中的 “文件”中找到该文件将其删除。
3. c:/windows/896588M.BMP 感染木马，用hijackthis发现该文件在注册表中创建[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] <AppInit_DLLs><896588M.BMP> ，该文件无法删除，注册表项也无法清楚（刚删掉立刻写回），用IceSword查看各进程的模块信息，发现n多进程都加载了该文件，用上诉方法强制解除时回引起计算机重启，郁闷！

      第一天夜：
     借来了一张启动盘，从光盘启动，用启动盘中带的工具（只要能管理本地硬盘的都行）命令进入c:/windows/ 删除896588M.BMP
重启，896588M.BMP被彻底清楚，任务管理器里看不到可疑进程了，自动更新问题解决了。然而网页被篡改，创建快捷方式问题依旧，IEINFO5.sys IEINFO5.bat又  回来了，temp下的n都病毒又回来了，显示隐藏文件问题依旧。
       一时间陷入了僵局，凌晨三点关机睡觉。
      第二天夜：
      忙了N天的论文总算投出去了，回去继续杀毒
      开机查看状况，问题除了896588M.BMP被彻底清楚，跟第一天刚开始时没有什么区别。
      安装了360安全卫士，发现IE被劫持了，又三个恶意软件：cnnic，popop Ads， 搜狗工具条，清楚后重启又会被自动安装，郁闷！
      检测系统漏洞，麦嘎！！原来我的系统这几个月一直在裸奔！有54个严重/重要的安全漏洞，而且大部分都是允许执行远程代码的IE漏洞，难怪浏览器问题杀了有来。
       接下来的思路就清晰了，先打补丁，然后按昨天的方式清除病毒，清楚恶意软件，重启！
       恶意软件被清楚，然而浏览器被篡改，创建快捷方式问题依旧，temp下的病毒文件删除后又出现问题依旧，用IceSword查看各进程nnd，serivces什么时候又回来了，一定是它的问题。然而这次services的清楚并不昨天面那次轻松，结束进程，删除system32/serivces.exe(文件被隐藏，只能用IceSword来删除)，转眼文件又出现，且在运行，faint！
       查看系统服务，无意中竟然发现服务Automatic Update竟然指向system32/serivces.exe，设为自动启动，太tmd黑了，原来lz天天更新都是在下病毒！不容分说，停止、禁用，结束进程，删除文件，修改注册表中的[HKEY_LOCAL_MACHINE/system/currentControlSet/Services/wuauserv]<ImagePath>为%systemroot%/system32/svchost.exe -k netsvcs
       然后清楚其他病毒文件，删除桌面的快捷方式，设为空白默认主页，重启
       主页不再被篡改，也不再创建快捷方式，temp下也不再出现病毒文件。
       然后安装一个卡巴斯基全盘扫描，清楚漏网之鱼。
       凌晨四点，关机睡觉。
   

       总结：本次中毒主要是安全防范做的不到位，机器上之装了一个费尔防火墙，没有杀毒软件，没有设密码。本人的系统是可以下载更新的上海政府版，以为经常安装更新就不会又问题，不想中了这中病毒的诡计，借安装更新的名义给我装病毒，幸亏我的c盘小，那几天天天只剩1M空间还以为是同学给我装了什么软件，杀完毒发现还有1.5G，何其毒也！