|
|
楼主 |
发表于 2008-12-2 21:45:37
|
显示全部楼层
杀一次变种的熊猫拜香病毒的经过
( A3 y5 _/ L2 Z% ?! O) Y
4 s* |- B; x& G4 w4 x2 C( E. S) X! I5 S) E3 e
话说治病要治根,要不只是治标不治本,病情是好不了的! 1 R7 q* d8 ~' f* f5 D3 I6 E' X
/ L6 h/ D& T* r8 ^+ B0 K- b R
杀病毒和木马也是一样,要杀就要把它的根找出来,即把它能重生的地方找出来。这并不是一件容易的事。看过我前面文章的朋友都知道,要找它可能会藏在N个文件夹内,要找出它只有高手才能办得到。其实高手的产生只不过是他比平常人多看了几次哪些地方,对它们的情况比较熟悉。其实我也并不是对系统所用的每一个文件都熟悉,只不过今天不知道,明天去杀了一次又知道了一点,然后一点一点积累,最后就比较了解了。就说这一次杀毒吧。 _ E4 J. `4 `* m
: O/ \) C$ s+ C前天几天,同学打电话来说她的机子被她弟上后,很多程序用不了。我一听,根据在网上的报道,判断出她中了熊猫拜香的变种病毒。 * {( s. l2 O0 N4 c" G5 G; q
9 R( r/ }% g% L! B' W# a0 D
拿着工具U盘,就冲到她家,打开电脑一看,速度正常,再看桌面,几乎所有图标都变成了DOS的exe文件图标。再看各分区,无法显示隐藏的文件,无法使用资源管理器,看来真是中了变种病毒。
# Y+ q$ Q/ S! q& s& o
3 z8 D8 Q" S- X7 m1 X6 D) s/ x本以为清理和往常一样就行了,先断开网线,进入安全模式清理一下流氓软件(windows清理助手,恶意软件清理助手)----清理流氓软件、清理垃圾文件,再修复一下系统(魔法兔子,卡卡助手的最新版)-----修复IE,查找可疑的驱动和启动文件,恢复显示隐藏的文件和资源管理器(下载),在C盘写一个autoexec.bat,内容如下:
1 ]$ v# t" K9 W# u! f- B9 g5 E K' ?9 a+ P9 x3 S- u x5 F
del X:\autorun.inf /f/q/a/s
. A/ G8 b* ?- }2 q4 k# \# O+ L c! W) _' x. K, g H
del X:\*.exe /f/q/a 6 D, i9 [8 e. c
8 Y4 A1 r1 O. v: ^
del X:\*desktop*.ini /f/q/a/s
7 s8 U# l8 Y7 x" D& t5 {2 H# K
5 A4 K" ?7 M6 ?% B" E3 m其中X代表硬盘盘符可以用C D E F。。。来代替 , H6 q6 ^4 F! T9 n
- Y% [; J5 m9 Y$ a, S1 s) {清理一次以后,重启再装杀毒软件MAFCEE(在安全模式竟装不了杀毒),发现装完以后杀毒软件监控马上被停止了,确定没还杀完,于是又一个个文件夹来找,把最近的exe、DLL文件全删了,用冰剑来看,正常,又作了一次清理修复工作,结果还是不行,重启后N个软件又用不了,连上网,想升级杀毒软件,却发现威金病毒又重新进来,只好断线关机,正想准备重装时,抱着最后一次试的决心,开机,打开任务管理器,发现有两个可疑的程序一闪而过,以前没有注意到,一个是iexplorer,一个是rpc,开机应不可能有ixplorer的(没开网页,而且位置也不对),rpc应是远程的程序,为了确定,又马上重启了一次机,在登录时打开任务管理器,用新任务启动冰剑,发出了这两个进程是红色的,但很快就消失,因此进入命令行模式找到这两个程序删除,在注册表找到相应项也删除之,后面的事情就好办了,重新装杀毒软件,这回用NOD32。 ' y' F6 z3 H9 h
3 {2 o4 x% U) ]( s/ m3 Vaiu46 51cto技术博客: c% |' }( j4 H& a
回顾这次杀毒经过,一是对文件的时间过于忽视,造成一些病毒木马没有被杀,二是没注意启动的实时加载程序,错过了发现的时机。三是过于信任大厂的杀毒软件,本是用MAFCEE杀了一次的,但就是启动不了实时监控。因此走了弯路,后面用NOD32完全可以找到并清理之。 |
|
|小黑屋|最新贴|维修网
( 粤ICP备09047344号 ) 
窥视卡
雷达卡
发表于 2008-12-2 21:45:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡