一个朋友的电脑中病毒了,今天下午跑去帮她看了一下。电脑里本来有安装卡巴斯基 5.0,不过已经被病毒咔嚓了。先运行msconfig,发现了七八个不正常的启动项,清除后按reset,启动项如故。昨天刚帮她检查过,一个流氓软件也没有,今天的IE就已经有两个工具条趴在地址栏下面。下了IceSword 1.20,发现一个红色的叫Rpcsystem.exe的进程和一个C:\Windows\LSASS.exe进程,在服务里看了一圈,起码有七八个病毒服务,全是伪装成Windows自带的服务,说明也都是中文的,写的跟真的似的。再看SSDT,有十多个红色的。
清了启动项,清了服务,又下载了一个SSDT recover把SSDT还原了,重启后反而更严重了,SSDT recover和IceSword都启动不起来了,双击之后没反应,不过IE还可以打开。唉,Windows XP SP2+IE 6 SP2,也不安全那。一时没招了,呆坐在那想了半天,突然想到一件往事。在很久很久以前,某个杀毒软件(好像是当时刚诞生的金山毒霸)有一个特别的功能,在EXE文件的关联被病毒修改后,可以把金山毒霸的主程序的扩展名由exe改为com,然后运行,金山毒霸将自动修复exe文件的关联。(这一条技巧在Google上搜索"金山毒霸 exe文件关联"可以找到)于是,我把SSDT recover和IceSword两个程序的扩展名改成了com,双击以后终于可以运行了。
SSDT recover显示,SSDT又被改回来了;IceSword显示,几个服务又被设置为自动了,删掉的七八个启动项回来了两个。又找了一圈,把不认识的服务都停了,还是没清掉病毒。唉,没辙,中毒已深,而且不只一个病毒,如果是系统文件也被感染了病毒,那我就没办法了。在硬盘里逛的时候,发现很多exe程序的修改日期都是10月20日,怕是又是感染所有exe文件的病毒。不干了,直接让她重装了事。
今天的事情可以得出一个结论:我对Windows还是不够了解。不过IceSword里查看SSDT的功能还有SSDT recover程序真是不错,对绞杀修改SSDT的病毒很有帮助。
不干了,我种了十多个Trojan.Win32.Patched.c
不干了。。。我nod32 firewall怎么会中毒。。。55
真是骠悍的木马!
不杀进程就杀木马,能杀尽才怪
一脚踢飞,谁说我没杀进程了。有一个病毒弄了两个进程互相守护,Windows任务管理器无能为力,还是用IceSword给结束的进程。把所有无关的进程都结束掉,连Explorer.exe都给结束掉,用IceSword禁用服务,用regedit清理注册表,用SSDT recover还原SSDT,然后立即按机箱上的reset键重启机器。
这种深度中毒的,我都是直接让他格了C盘重装。装好了以后什么也不要打开,直接装U盘上的NOD32,并升级到最新的病毒库,然后全面杀毒。
中毒深的,即使拚死拚活得修复好了,系统也不稳定,还不如格了一了百了呢
杀毒最好还是在安全模式下进行
另外超级兔子和sreng2配合使用,加上processexplorer,应该能搞定大部分病毒或流氓软件
这回表再踢我
用process explorer HijackThis+regedit应该就可以了。再不行用加只读目录的方法就可以了。再不行,+filemon+regmon找源头