我中了木马病毒!!!
作者: cnray 发表日期: 2006-09-19 16:00 文章属性: 原创 复制链结
http://big5.ccidnet.com:89/gate/big5/jade.blog.cc...showone/tid_91036.html我的电脑中木马了,整整折腾了半天,真的是半天,才算搞定,其中经历惨痛之极。在这里和大家分享一下这过程中的经验和心得。
事情的起因是这样的,近期的公司病毒特别严重,多数是因为上网不注意导致的。我一直使用诺顿10的企业版防毒软体,虽然时常检测到病毒,但是我的机器还算安全。周六在杀毒过程中感到诺顿似乎检测的有漏洞,于是在网上寻找卡巴斯基6和麦咖啡套件。在找过十几个网站后,有一个网站资讯相当吸引人“最强的杀毒软体卡巴斯基6.0完全中文版,带最新病毒库及2010年的key”,于是我点击了下载,然后很快下来了,是一个安装程式,于是我下意识点击运行。
在五分钟之内,我电脑慢到不可忍受程度,我开始怀疑自己的电脑有病毒了。打开诺顿,却发现诺顿已经开始报错,不能正常运行了。按下“ctrl+alt+del”查看系统进程表,发现一下子多了七八个陌生的进程,有两个还中断不了。我意识到,已经中毒了。
那我就来看看这个病毒都对我做了甚么东西,导致我中毒如此彻底?先重新启动电脑,然后打开我的系统进程表,记录下来那些我陌生的进程名字。然后重新启动到安全模式,在注册表中找到对应的注册表项,逐一删除掉,这样下次启动时不会再自动运行这些进程了。可是偶然一次回复搜寻,发现刚刚删掉注册表项又出现了!真是见鬼了!!!
再删!又出来了。我再删,又出来。我删!删!删!结果每次都是转眼就加上了。
肯定是有病毒在我系统进程里面潜伏了,于是我在又一次打开了进程表,进程少了很多,可是有一个大写的WINLOGON.EXE是很陌生的,中止不了,提示“系统关键进程,不能被中止”。就是他了,肯定是他和我在捉迷藏,删又删不掉,怎么办呢?别急,我还有招呢。
我把可以删除的可疑文件都删除掉了,又把一些不反复回写的注册表项删掉,记录了我处理不了的两个程式,然后再次重新启动电脑。同时,我在光碟机里放下了PE工具盘。启动!,这次我进入的不是WindowsXP,而是PE工具盘的Linux系统,在这个仿XP的作业系统里面,打开我的电脑轻松的删掉了所有可疑程式,再次重新启动,我想这次搞定了吧,现在的病毒就是靠大量的垃圾邮件和网站来骗那些不懂电脑的人的,一点技术含量都没有!
正开心中,发现我的windows,出了几个错误提示后,速度依然很慢,不对啊?应该都清除了啊。用诺顿扫扫毒看看,还是无法启动诺顿。再看系统进程表,发现有多个SVCHOST程式在运行,我的电脑不应该开这么多服务啊,可是应该关闭那一个呢,关键是想关那一个进程都失败,看来我的手动杀毒不很彻底啊,只好使出我的压箱底的绝活了,脱机杀毒。摘下我的硬盘,然后另外找了一台刚刚装上我新下的卡巴斯基6电脑,然后开始扫描病毒。
提示估计使用时间是到明天的中午2点结束,天哪,不能这么扫描,直接扫描C盘吧,用了大约1个半小时,扫描出50多种病毒,原来病毒隐藏在 ie的启动插件中,只要启动,就会默认执行后门程式,后门程式像是战争中特种部队,把系统大开后门,并把早已经准备好的各种木马程式陆续下载到电脑上,然后感染系统文件,这样就可以暗自记录你在电脑上输入的账户和密码了。好玄啊,好在刚才我没有上网查工资是不是到帐,要不然的话,不敢想像。
杀完了毒了,我看看是不是还可以继续使用我的原有系统。把硬盘装回到自己的电脑上,然后开机,进入系统。一切好像都好了。
我想该收一下邮件了,点了一下OUKLOOK,等,等,等——,嗯?怎么提示选择打开方式,而不是进入邮箱的那个熟悉的介面?
点击IE,还是要选择打开方式,点击诺顿杀毒,也是同样的提示。
我终于明白了,这次我中的病毒非同寻常,他非但在系统里面留驻,而且破坏系统文件,而且为了保证自己可以运行,修改了系统的打开关联参数,的确很厉害。我似乎看到一副无赖的模样:我就是骗你中毒,偷你密码,中了毒要是想清除掉的话,我让你系统都没法用!!!我恨的压根痒痒,但是的确除了重新安装系统,没有更好的办法了。
这时候已经过去了接近三个小时了。没法子,再不装系统,明天安排的加班又泡汤了,赶紧吧!花了1个小时左右做好了系统。该装驱动了,刚刚要惯性的打开我的电脑袋的F盘上的drivers目录,突然想起来我既然中了病毒,那是不是可能我的其他盘上的文件也受到感染了?
老老实实的找到我电脑驱动的备份光碟,安装驱动,然后清除默认共用和系统还原;安装杀毒软体,打开windows防火墙,然后接上internet,升级病毒库(至少半个小时),升级到最新的病毒库后开始杀毒,2个小时过去了,扫描结束。我清点了一下,一共查出了四个硬盘分区中,153个病毒,全部不能清除,只能删除掉,这意味着我的电脑上存放的很多文件都被破坏了。其中包含我的sql数据备份和我的个人邮箱还有我保留的工具软体无数。三年的数据毁于一旦,就是因为我在大意之中运行了一个貌似好东西的软体。真是欲哭无泪了。
整个事件用了我大约超过5个小时的时间,丢失了我从03年起开始保存的一些资料,可谓代价惨重。
经验:
一定不要乱浏览不是自己熟悉的网站。
一定一定不要下载一些来源不可靠的东西。
一定一定一定不要运行你下载的那些来源不明的东西。
