|
|
楼主 |
发表于 2008-12-2 21:45:37
|
显示全部楼层
杀一次变种的熊猫拜香病毒的经过& Y, M' i7 o9 B( m: b
V/ |7 O e* w) \4 T8 Q4 [8 V
$ H! f, A4 _/ T" |话说治病要治根,要不只是治标不治本,病情是好不了的! 7 k- g" u; b! D
! W5 r, C1 H' G5 Y
杀病毒和木马也是一样,要杀就要把它的根找出来,即把它能重生的地方找出来。这并不是一件容易的事。看过我前面文章的朋友都知道,要找它可能会藏在N个文件夹内,要找出它只有高手才能办得到。其实高手的产生只不过是他比平常人多看了几次哪些地方,对它们的情况比较熟悉。其实我也并不是对系统所用的每一个文件都熟悉,只不过今天不知道,明天去杀了一次又知道了一点,然后一点一点积累,最后就比较了解了。就说这一次杀毒吧。 ( L p) E5 ?4 ? r9 i3 Y! \6 v
$ I j0 G9 Y1 |" u6 ?前天几天,同学打电话来说她的机子被她弟上后,很多程序用不了。我一听,根据在网上的报道,判断出她中了熊猫拜香的变种病毒。 $ a! g3 W2 [) y/ L1 M
! d% |9 A+ y( ~2 ^) t1 p$ h
拿着工具U盘,就冲到她家,打开电脑一看,速度正常,再看桌面,几乎所有图标都变成了DOS的exe文件图标。再看各分区,无法显示隐藏的文件,无法使用资源管理器,看来真是中了变种病毒。
9 }5 B B& Z/ I, ], {9 f7 E, J! q% F* M' A+ | ]7 o) J8 x0 V; l
本以为清理和往常一样就行了,先断开网线,进入安全模式清理一下流氓软件(windows清理助手,恶意软件清理助手)----清理流氓软件、清理垃圾文件,再修复一下系统(魔法兔子,卡卡助手的最新版)-----修复IE,查找可疑的驱动和启动文件,恢复显示隐藏的文件和资源管理器(下载),在C盘写一个autoexec.bat,内容如下: $ u/ Q8 u$ ?& g2 r/ H
6 }9 ?6 a) H) h3 P) K8 @, D3 [+ @del X:\autorun.inf /f/q/a/s
) I2 I7 y* i& ^6 [0 F% j" w" y$ t# k2 U- G& T t/ U9 h
del X:\*.exe /f/q/a 0 Z1 o5 X3 [8 L- F# \- Z# V( x
9 _# H8 F1 w& M4 O6 y9 M- Q: Wdel X:\*desktop*.ini /f/q/a/s J* i9 c- n& z
2 X7 I/ L8 v& ]7 I8 j3 @1 L7 x
其中X代表硬盘盘符可以用C D E F。。。来代替 % }' H3 [1 U: H# d! c l
2 G# I. ^( ]& V+ Z
清理一次以后,重启再装杀毒软件MAFCEE(在安全模式竟装不了杀毒),发现装完以后杀毒软件监控马上被停止了,确定没还杀完,于是又一个个文件夹来找,把最近的exe、DLL文件全删了,用冰剑来看,正常,又作了一次清理修复工作,结果还是不行,重启后N个软件又用不了,连上网,想升级杀毒软件,却发现威金病毒又重新进来,只好断线关机,正想准备重装时,抱着最后一次试的决心,开机,打开任务管理器,发现有两个可疑的程序一闪而过,以前没有注意到,一个是iexplorer,一个是rpc,开机应不可能有ixplorer的(没开网页,而且位置也不对),rpc应是远程的程序,为了确定,又马上重启了一次机,在登录时打开任务管理器,用新任务启动冰剑,发出了这两个进程是红色的,但很快就消失,因此进入命令行模式找到这两个程序删除,在注册表找到相应项也删除之,后面的事情就好办了,重新装杀毒软件,这回用NOD32。
. j# S8 W S0 m) y5 g# V5 `# {0 h7 z2 f! U: e& }) o6 @. ?
aiu46 51cto技术博客
5 T5 G2 v- d8 j8 r* w2 b回顾这次杀毒经过,一是对文件的时间过于忽视,造成一些病毒木马没有被杀,二是没注意启动的实时加载程序,错过了发现的时机。三是过于信任大厂的杀毒软件,本是用MAFCEE杀了一次的,但就是启动不了实时监控。因此走了弯路,后面用NOD32完全可以找到并清理之。 |
|
窥视卡
雷达卡
发表于 2008-12-2 21:45:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
