09月13日21:57分发现自己再次中毒的,当时在听音乐,foobar2000流畅的音乐稍微卡了下,上次也是这个症状,于是迅速打开任务管理器看了下,果然有大批木马跳了出来。如图:
过了一会,网络开始不断中断,然后自动重连又中断。症状和上次完全一样。系统里面出现奇怪的进程分别是:avwgbmn.dll、rsjzapm.dll、kapjazy.dll、avwlamn.dll
此时优化大师和AppInit_DLLs木马专杀工具都不能使用,sreng2同时失去作用,应该是木马升级了版本的缘故。整个硬盘绝大部分的exe文件图标发生改变,被木马注入,不过当时并没有发现异样。因为有ghost镜像在,所以就懒得去一一去从注册表清除了,直接ghost恢复了系统。
然后开机,运行-->cmd-->dir /a,没有发现Autorun.inf的影子。我的ghost里面已经预装了常用的工具,运行系统盘的程序时候也没有问题。不过当我点击其他盘exe文件的时候很快又出现了未重装之前的状况。优化大师、AppInit_DLLs木马专杀、sreng2都无法运行,被木马屏蔽掉了。
只好再次重装了下,开机,运行-->cmd-->dir /a,在除系统盘外的其他几个盘根目录下发现 Pegefile.pif文件,找到罪魁祸首了,使用 命令行下直接使用del命令不能删除,使用 attrib -h -s -r 去掉Pegefile.pif文件的隐藏系统及只读属性后予以删除,同时清理整个硬盘所有被木马注入的 exe文件,基本上全部的exe文件都要删除掉。不要舍不得,笔者就因为舍不得一个找了好久的安装文件,再次中招,完全清理完毕被感染的exe文件后,整个系统就干净了。
ps: 命令解析attrib -h -s -r -a [h隐藏| s系统文件| r只读 | a存档文件 ]
经验教训:把比较重要的程序安装文件做成rar/zip的压缩文件保存比较不容易被木马注入。
以下为用卡巴斯基所扫描的部分结果:木马流毒,甚于洪水猛兽,损失的资料太多了
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/c++/csf文件播放器.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/LINUX/vncviewer.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/photo/photo/play/piano/iDreamPiano.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/方程.exe/PE_Patch
已清除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/计数.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/计算.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/egvb/时间日期.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/Kawaks 1.45 最终中文典藏版/WinKawaks.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/Kawaks 1.45 最终中文典藏版/联机对战专用.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: F:/matlab7.0.1安装文件/keygen.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/Eclipse_soft/jakarta-tomcat-5.0.28.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/WinRAR_3.70b4_SC.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/ftp_soft/soft/视频工具/视频切割/videosplitter.ExE/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/hd/eclipse/eclipse.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: G:/opnet/8.1.A_PL8/8.1.A_PL3_8_Crack/Mk_Lic.exe/PE_Patch
被木马所注入的exe格式的电子书,chm格式的没有受到影响
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/源氏物语.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中国名山录.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中国侠文化.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/传统文化/中华古籍.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/第五项修炼.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/古文观止.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/杰克-韦尔奇自传.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/论语别裁.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: E:/ebook/三联书社推荐的100本好书/尼采选集.exe/PE_Patch
以下为整个文件夹在卡巴斯基检查出染毒后被笔者删除后处理情况:
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication1/bin/Debug/WindowsApplication1.exe/PE_Patch
已删除: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication1/obj/Debug/WindowsApplication1.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication2/bin/Debug/WindowsApplication2.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication2/obj/Debug/WindowsApplication2.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication3/bin/Debug/WindowsApplication3.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication3/obj/Debug/WindowsApplication3.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication4/bin/Debug/WindowsApplication4.exe/PE_Patch
未发现: 病毒 Worm.Win32.Viking.mc 文件: D:/btdown/北大青鸟Accp课程课件/课件/04/WindowsApplication4/obj/Debug/WindowsApplication4.exe/PE_Patch
6752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
