木马肆虐的春天

上一篇 / 下一篇  2007-04-06 10:34:04 / 个人分类:千丝万缕

查看( 82 ) / 评论( 0 ) / 评分( 0 / 0 )
北海摄影网? x*Nad-_b~tI

    直到现在我还是搞不明白,我的内存到底是为什么坏掉的,这个暂且不去理他。电脑公司说给我换了一个代用的内存,还帮我重装了系统,我高兴的以为一切都解决了,到时候开开心心的等待内存从南宁旅行回来就ok了。北海摄影网8OUoChhN!Wx

北海摄影网;~M:I)m8f G

    谁知道事情往往不像你想象得那么简单的——这回更甚,我用360安全卫士一检查,天啊,好多病毒和木马,杀!!可是杀完居然又“春风吹又生”鸟~~也试过进入安全模式,也是没有用,反间谍也解决不了。我想多半是电脑公司那里给传染上的,否则,刚刚重装的机器,怎么可能这么快呢?它系统再有漏洞也不可能啊……我找到他们抱怨了一番,他们却说可能是别的盘有毒,不能怪他们,而且给我装一个金山毒霸的杀毒套装,让我自己升级来解决。无奈只有这样也不能完全的解决问题,这已经是我浪费的第二个晚上了,我多次说,如果再不行,我就要把所有的文件用光盘备份下来,全盘给格掉,可是心存那么一丝希望又舍不得放弃,所以啊,就没日没夜的守在电脑前,废寝忘食的杀呀杀呀~~一有空就上百度搜索解决办法,老天有眼,终于让我彻底的解决了,耶!!对了,对于我这次情况比较特殊,用ghost恢复系统是没有用的,后来检查发现那里也被感染了。

azX KB0

V)A#`:t1B0    中的木马有cmdbcs.exe,mppds.exe,msccrt.exe,upxdnd.exe,winform.exe,wsttrs.exe,c0nime.exe……在网上搜索了一下,说什么的都有,说是威金熊猫的变种(听说可以用江民的专杀,但是没有号下了没法装),也有说是木马群。个人偏向后一种,因为它并没有感染到系统文件,而是多出很多跟系统文件几乎是孪生的.exe和.dll,雌雄难辨鸟~~在这里把杀毒的心得总结一下,先说好这个是集众家所长的东西,至于都从谁那里得来,我也记不得那么多了,高手太多。好像我一个菜鸟来写这种东西实在有些班门弄斧,但是因为深受其害,这样也许能帮到不少人。北海摄影网,goR1Y_{UH

北海摄影网/X3\&b-blz

    总之一句话——手动删除才是王道!!

&~8m"`E:I|0 北海摄影网7|4\`#Q A7R!DBmssd

    以下是杀毒的步骤,有些繁琐,将就看吧:

L{4j)@!mn0

djfPNEt/u~ n01.开始-运行-regedit打开注册表,检查注册表中HKEY_LOCAL_MACHINE里software\microsoft\windows\currentversion的run,runservice等几项,将可疑的删除,在winnt,system,system32里面可疑的.exe,.dll,.com,.bat删除(后面两项我没有遇到)。还有microsoft\internet explorer\main中的几项。HKEY_CLASS_ROOT\inifile\shell\open\command和HKEY_CLASS_ROOT\txtfile\shell\open\command。这两项我的也没有问题。

!z1w)\5ihg0 北海摄影网t6^eK2xe4XR+b

2.查找regedit中相关的.exe(即查找到的木马名称),全部删除。北海摄影网Ho` J1aZ9A5k:n M

r-w]5mJJ%R4b03.F8进入安全模式,将windows和temp中的相关.exe删除,C:\下的system,system32里面的ghook.dll,svchost.exe删除。进入C:\windows\system32,按修改时间排列所有文件,如果时间比较离谱的,或是发现中毒的时间,就先复制再删除掉(复制的用途是以防删掉不应该的文件,也记住文件名)。北海摄影网(Oja+Kj:ZfR1]

l1p1Ko/|z04.再次进入注册表,搜索清除那些疑为病毒的文件名,删除,进入控制面板-管理工具-服务,禁用文件。北海摄影网(s {+ObJ6X7P i1^

北海摄影网/OO4w.?n?y)l

5.QQ安装文件夹中的Timplatform.exe删除,将Timplatfrom.exe重命名为Timplatform.exe(因为我之前怕QQ惹祸上身,已经把它整个卸载,相关文件也删除了,所以这项没有看到有没有被感染)。

$B3q!J l6_'ZoD0

oV*oN\8r5e06.F8进入安全模式,然后通过Sreng,启动项目-服务-win32服务应用程序(隐藏经认证)的,删除服务-设置-否(这一项也没有用到)。如果开机以后电脑上发出间断的咚咚声,那就是感染了config.exe,删除C:\config.exe,C:\windows\system32\servet.exe(后一项没有发现存在)。最主要的是把C盘底下的临时文件夹清空,也要形成习惯。

? | T8qG|A0 北海摄影网uArF;]ExZA

7.还有一个没有用到,就是进入Dos界面,dir /a:h然后attrib -r -s -h svchost.exe和attrib -r -s -h ghook.dll。(我不太明白这些命令是什么意思,基本上电脑的木马通过前面几步已经搞定的差不多了,我也刚好不用试验这个)。北海摄影网.ob@0^1[k

|6I&j#`HEyC0总结一下:

5N#^v-I?Ee0

o0V,QZ3a$Mc;F0这一次的病毒木马是非常顽强的,如果只是杀毒软件真的是没有办法完全解决,我主要用的是以下几种:北海摄影网T+H5EA0STl6H)U

8VW"oZ-YL!y01.360安全卫士——通过它可以发现很多木马的存在,但是清除不掉,即使说是解决了提示重启还是会有,进入安全模式也基本上是换汤不换药,经常弹出的警告说**要更改系统启动项,阻止也没用,只会觉得很烦人。至于卡巴斯基,也是众说纷纭,以前很多人跟我说这个东西很好用,但是我曾经在别人的电脑上做过试验,运行杀毒了以后(也不知道杀没杀干净),CPU占用率却成了100%,也就是说你基本上什么也做不成了,也许因此也有人说卡巴也算是一种毒。所以这次我没有轻易动用它。

#~)[R1x?7s&d:N'{0 北海摄影网o c@r?

2.冰刃icesword——都说这个瑞士军刀很管用,可是就这次的战争中并没有起到应有的作用。人家说它可以使木马进程无所遁形,然后都应该是红色的,我这里是蓝色的,而且或者因为没有升级,可以发现的问题进程没有360上面提醒的多,所以可能杀不完全。

:is)z5B:Q&e0

t!QL.A-|!vkrD`03.SRENG——这个也是通过检查注册表的启动项目来发现木马的,有一点点用。

;vw%iWl:Hh.Zxt6`0 北海摄影网` dWZ[1p4_~

4.金山毒霸套装——我不想吹嘘说这个杀毒软件有多么厉害,有人说卡巴不行,这个行,说要支持国产。对于我来说,只要能够解决问题,正是黑猫白猫,抓到老鼠就是好猫。这个经过升级以后的确是比较好用的,其中实时启动的金山网镖也会在有东西侵入修改启动项的时候提供警报。然后还有一个比较厉害的就是文件粉碎机——只要是确定的木马或病毒程序,知道路径的就用这个。还有就是病毒隔离区,经过我手动删除的许多后来被发现都在这里被禁用隔离而已,于是就可以派上大用场鸟~~可以在这里把这些程序彻底删除掉,万事大吉ing~~

)Ru-v5D&~7@p0 北海摄影网BRY i*\v?r+z

5.不要盲目的相信系统还原,尤其是像我这种情况,刚重做系统的,再还原也没用,有可能是重装的时候光盘就感染了病毒,并不能恢复到过去一清二白的状态。因为后来竟然在病毒隔离区发现了什么装机人员,快速关机,一键恢复之类的也被感染了……难怪……备注里面清楚的标明都是风险程序,那我当然不敢保留了,好危险……北海摄影网0LW)L3wb7s!FqJ

j,ULu k ha0^v*Cs06.这次杀毒,几乎把系统常用的exe,dll都弄清楚了,所以在进程里面若是看到不熟悉的东东,多半是有问题的。累积的经验不用说还是管用的,刚好今天办公室的电脑染上了跟家里电脑差不多的木马,比较轻松的就可以手动删除了,也没有借用金山。北海摄影网}O Xg.aC

z&Y!H8q-c S\{$C0希望我的爱姬以后不要再出这样的特洛伊事件鸟~很费精力的说……这年头,还没满一年呢,这么多问题,好像是天气惹的祸。烦死啦~~!!

{:P"hV5Z m7R]0

导入论坛 收藏 分享给好友 管理 举报

TAG: 千丝万缕

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar