主机系统:Windows 7 简体中文旗舰版 64位
病毒文件:10029795.463,win.txt
病毒路径:C:\Program Files\Common Files\Microsoft Shared\ink,C:\Program Files\Common Files\Microsoft Shared\MSInfo
中毒现象:开机登录后,在进入桌面前有提示框显示“个性化设置:C:\Program Files\Common Files\Microsoft Shared\INK\10029795.463”,随后进入桌面不久,机器便直接断电(不经过正常的关机流程,直接黑屏断电硬盘停转,但是重启时并未出现上次非正常关机的提示)。安全模式可以正常进入。
排毒过程:
1、缺乏经验,同时由于被那个“个性化设置:C:\Program Files\Common Files\Microsoft Shared\INK\10029795.463”的提示框误导,坚信如此“冠冕堂皇”“人畜无害”的提示与机器症状无关。遂在安全模式、windows pe间来回尝试多次,找不到问题源头。但逐渐排除掉硬件问题、驱动、系统、软件的问题,开始怀疑是中了毒。毕竟,确实刚刚安装过几个破解软件,不排除发布者夹带私货的可能性。虽然安装的MSE没有警报,但是毕竟MSE不可太过信赖。
2、从病毒角度入手的第一步,就是拿登录的那个提示框开刀。根据显示的路径,进安全模式找到了C:\Program Files\Common Files\Microsoft Shared\INK\10029795.463这个文件,创建时间和安装某破解软件的时间基本吻合,嫌疑度迅速提升,就是你这小样没跑了!
3、删除该文件,重启,登录,这次似乎还有个提示框一闪而过,但是进系统后一切正常。病因确认!
4、上网查找类似案例,找到两个,贴上地址,共同学习。
《一次木马的处理过程》
http://www.cnblogs.com/flaaash/archive/2013/03/19/2970084.html
《[杀软心得] 桌面自动会多出一个IE图标,主页被改成www.114la.com的进来看看,已经抓到小偷》
http://bbs.pcbeta.com/viewthread-1238200-1-1.html
5、根据上面第二篇文章,又找到一个文件,位置C:\Program Files\Common Files\Microsoft Shared\MSInfo\win.txt,创建时间与上面提到的文件完全一致,内容是一串数字。同时在注册表HKEY_USERS\S-1-5-21-3506552133-924641891-1374002275-500\Software\Wow6432Node\Microsoft\Active Setup\Installed Components下找到10029795开头的一系列项,很可能就是通过它们使得该病毒随用户登录启动。
6、对软件和操作系统都涉足不深,以应用为主,知识浅薄,有诸多不明晰或不正确的地方还请包涵。这次清毒是否彻底还有待商榷,但是又不想重装系统,而MSE的扫描结果表示即使是那几个文件也是绿灯通行,思来想去,重新装上COMODO,对任何小动作一概封杀。
3853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
