我中了木馬病毒!!!
作者: cnray 發表日期: 2006-09-19 16:00 文章屬性: 原創 複製鏈結
http://big5.ccidnet.com:89/gate/big5/jade.blog.cc...showone/tid_91036.html我的電腦中木馬了,整整折騰了半天,真的是半天,才算搞定,其中經歷慘痛之極。在這裡和大家分享一下這過程中的經驗和心得。
事情的起因是這樣的,近期的公司病毒特別嚴重,多數是因為上網不注意導致的。我一直使用諾頓10的企業版防毒軟體,雖然時常檢測到病毒,但是我的機器還算安全。週六在殺毒過程中感到諾頓似乎檢測的有漏洞,於是在網上尋找卡巴斯基6和麥咖啡套件。在找過十幾個網站後,有一個網站資訊相當吸引人“最強的殺毒軟體卡巴斯基6.0完全中文版,帶最新病毒庫及2010年的key”,於是我點擊了下載,然後很快下來了,是一個安裝程式,於是我下意識點擊運行。
在五分鐘之內,我電腦慢到不可忍受程度,我開始懷疑自己的電腦有病毒了。打開諾頓,卻發現諾頓已經開始報錯,不能正常運行了。按下“ctrl+alt+del”查看系統進程表,發現一下子多了七八個陌生的進程,有兩個還中斷不了。我意識到,已經中毒了。
那我就來看看這個病毒都對我做了甚麼東西,導致我中毒如此徹底?先重新啟動電腦,然後打開我的系統進程表,記錄下來那些我陌生的進程名字。然後重新啟動到安全模式,在註冊表中找到對應的註冊表項,逐一刪除掉,這樣下次啟動時不會再自動運行這些進程了。可是偶然一次回復搜尋,發現剛剛刪掉註冊表項又出現了!真是見鬼了!!!
再刪!又出來了。我再刪,又出來。我刪!刪!刪!結果每次都是轉眼就加上了。
肯定是有病毒在我系統進程裏面潛伏了,於是我在又一次打開了進程表,進程少了很多,可是有一個大寫的WINLOGON.EXE是很陌生的,中止不了,提示“系統關鍵進程,不能被中止”。就是他了,肯定是他和我在捉迷藏,刪又刪不掉,怎麼辦呢?別急,我還有招呢。
我把可以刪除的可疑文件都刪除掉了,又把一些不反復回寫的註冊表項刪掉,記錄了我處理不了的兩個程式,然後再次重新啟動電腦。同時,我在光碟機裏放下了PE工具盤。啟動!,這次我進入的不是WindowsXP,而是PE工具盤的Linux系統,在這個倣XP的作業系統裏面,打開我的電腦輕鬆的刪掉了所有可疑程式,再次重新啟動,我想這次搞定了吧,現在的病毒就是靠大量的垃圾郵件和網站來騙那些不懂電腦的人的,一點技術含量都沒有!
正開心中,發現我的windows,出了幾個錯誤提示後,速度依然很慢,不對啊?應該都清除了啊。用諾頓掃掃毒看看,還是無法啟動諾頓。再看系統進程表,發現有多個SVCHOST程式在運行,我的電腦不應該開這麼多服務啊,可是應該關閉那一個呢,關鍵是想關那一個進程都失敗,看來我的手動殺毒不很徹底啊,只好使出我的壓箱底的絕活了,脫機殺毒。摘下我的硬盤,然後另外找了一台剛剛裝上我新下的卡巴斯基6電腦,然後開始掃描病毒。
提示估計使用時間是到明天的中午2點結束,天哪,不能這麼掃描,直接掃描C盤吧,用了大約1個半小時,掃描出50多種病毒,原來病毒隱藏在 ie的啟動插件中,只要啟動,就會默認執行後門程式,後門程式像是戰爭中特種部隊,把系統大開後門,並把早已經準備好的各種木馬程式陸續下載到電腦上,然後感染系統文件,這樣就可以暗自記錄你在電腦上輸入的賬戶和密碼了。好玄啊,好在剛才我沒有上網查工資是不是到帳,要不然的話,不敢想像。
殺完了毒了,我看看是不是還可以繼續使用我的原有系統。把硬盤裝回到自己的電腦上,然後開機,進入系統。一切好像都好了。
我想該收一下郵件了,點了一下OUKLOOK,等,等,等——,嗯?怎麼提示選擇打開方式,而不是進入郵箱的那個熟悉的介面?
點擊IE,還是要選擇打開方式,點擊諾頓殺毒,也是同樣的提示。
我終於明白了,這次我中的病毒非同尋常,他非但在系統裏面留駐,而且破壞系統文件,而且為了保證自己可以運行,修改了系統的打開關聯參數,的確很厲害。我似乎看到一副無賴的模樣:我就是騙你中毒,偷你密碼,中了毒要是想清除掉的話,我讓你系統都沒法用!!!我恨的壓根癢癢,但是的確除了重新安裝系統,沒有更好的辦法了。
這時候已經過去了接近三個小時了。沒法子,再不裝系統,明天安排的加班又泡湯了,趕緊吧!花了1個小時左右做好了系統。該裝驅動了,剛剛要慣性的打開我的電腦袋的F盤上的drivers目錄,突然想起來我既然中了病毒,那是不是可能我的其他盤上的文件也受到感染了?
老老實實的找到我電腦驅動的備份光碟,安裝驅動,然後清除默認共用和系統還原;安裝殺毒軟體,打開windows防火牆,然後接上internet,升級病毒庫(至少半個小時),升級到最新的病毒庫後開始殺毒,2個小時過去了,掃描結束。我清點了一下,一共查出了四個硬盤分區中,153個病毒,全部不能清除,只能刪除掉,這意味著我的電腦上存放的很多文件都被破壞了。其中包含我的sql數據備份和我的個人郵箱還有我保留的工具軟體無數。三年的數據毀於一旦,就是因為我在大意之中運行了一個貌似好東西的軟體。真是欲哭無淚了。
整個事件用了我大約超過5個小時的時間,丟失了我從03年起開始保存的一些資料,可謂代價慘重。
經驗:
一定不要亂瀏覽不是自己熟悉的網站。
一定一定不要下載一些來源不可靠的東西。
一定一定一定不要運行你下載的那些來源不明的東西。
