爱机的裸奔时代之终结--我的杀毒日志

              爱机的裸奔时代之终结--我的杀毒日志

      连续两天的战斗终于告终,我没有被病毒搞崩溃,我的系统没有被病毒搞崩溃,病毒被我和我的系统搞崩溃了,爱机的裸奔时代终于结束!
      从病毒文件的创建日期可知,我的计算机是在一月初感染上病毒的。
记得当时的症状是打开网页时自动弹出广告窗口,一直没有在意,直到有一天掉出任务管理器时发现任务管理器一闪而过,知道不好中招了!
      当时只是用IceSword&hijackthis作了简单的处理,一切表明现象都消失了,时值学校放假就放心的回家过年去了。
      假期同学用了我的机器,开学回来后发现问题严重了!
主要症状有:
1.默认网页被恶意篡改为:www.96***.com ,设为空白后就自动被篡改
2.在桌面上创建“DJ×××”的网页快捷方式,删除后有自动被创建
3.开机自启动IE进程,但并没有ie浏览器窗口,还有一个serivces(注意不是系统的services)进程(用IceSword查看两个进程用红色标识)
4.每次关机总有十几个系统更新要安装(以前也就几天才有一个要安装)
5.“显示隐藏文件”失效,设置显示隐藏后点确定马上被该为不显示。
6.启动项里有可疑程序被启动。

      杀毒经历如下:
      第一天白天:
      关闭系统还原,用IceSword&hijackthis结束进程,修复注册表,删除启动项里的可疑程序,删除桌面上的恶意网页快捷方式,清楚网页的临时文件,重启,网页问题照旧,启动项里的可以程序被清除,serivces被清楚,“显示隐藏文件”问题照旧,非法IE进程照旧。
如此重复多次,效果同样!
      用学校的趋势在线杀毒,有新的发现:
1. c:/documents and Settings/"username"/local settings/temp 以及下面的子目录里有n多名字怪怪的可执行文件和动态连接库文件带毒,删!
2. C:/Program Files/Common Files/Microsoft Shared/MSInfo/ IEINFO5.sys IEINFO5.bat 感染病毒,但无法清楚
       处理方式:关闭所有网页和窗口,用IceSword查看各进程的模块信息,如果发现有加载该文件者(本人只发现explorer加载了该文件)将该文件强制解除,然后从IceSword中的 “文件”中找到该文件将其删除。
3. c:/windows/896588M.BMP 感染木马,用hijackthis发现该文件在注册表中创建[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] <896588M.BMP> ,该文件无法删除,注册表项也无法清楚(刚删掉立刻写回),用IceSword查看各进程的模块信息,发现n多进程都加载了该文件,用上诉方法强制解除时回引起计算机重启,郁闷!

      第一天夜:
     借来了一张启动盘,从光盘启动,用启动盘中带的工具(只要能管理本地硬盘的都行)命令进入c:/windows/ 删除896588M.BMP
重启,896588M.BMP被彻底清楚,任务管理器里看不到可疑进程了,自动更新问题解决了。然而网页被篡改,创建快捷方式问题依旧,IEINFO5.sys IEINFO5.bat又  回来了,temp下的n都病毒又回来了,显示隐藏文件问题依旧。
       一时间陷入了僵局,凌晨三点关机睡觉。
      第二天夜:
      忙了N天的论文总算投出去了,回去继续杀毒
      开机查看状况,问题除了896588M.BMP被彻底清楚,跟第一天刚开始时没有什么区别。
      安装了360安全卫士,发现IE被劫持了,又三个恶意软件:cnnic,popop Ads, 搜狗工具条,清楚后重启又会被自动安装,郁闷!
      检测系统漏洞,麦嘎!!原来我的系统这几个月一直在裸奔!有54个严重/重要的安全漏洞,而且大部分都是允许执行远程代码的IE漏洞,难怪浏览器问题杀了有来。
       接下来的思路就清晰了,先打补丁,然后按昨天的方式清除病毒,清楚恶意软件,重启!
       恶意软件被清楚,然而浏览器被篡改,创建快捷方式问题依旧,temp下的病毒文件删除后又出现问题依旧,用IceSword查看各进程nnd,serivces什么时候又回来了,一定是它的问题。然而这次services的清楚并不昨天面那次轻松,结束进程,删除system32/serivces.exe(文件被隐藏,只能用IceSword来删除),转眼文件又出现,且在运行,faint!
       查看系统服务,无意中竟然发现服务Automatic Update竟然指向system32/serivces.exe,设为自动启动,太tmd黑了,原来lz天天更新都是在下病毒!不容分说,停止、禁用,结束进程,删除文件,修改注册表中的[HKEY_LOCAL_MACHINE/system/currentControlSet/Services/wuauserv]为%systemroot%/system32/svchost.exe -k netsvcs
       然后清楚其他病毒文件,删除桌面的快捷方式,设为空白默认主页,重启
       主页不再被篡改,也不再创建快捷方式,temp下也不再出现病毒文件。
       然后安装一个卡巴斯基全盘扫描,清楚漏网之鱼。
       凌晨四点,关机睡觉。
   

       总结:本次中毒主要是安全防范做的不到位,机器上之装了一个费尔防火墙,没有杀毒软件,没有设密码。本人的系统是可以下载更新的上海政府版,以为经常安装更新就不会又问题,不想中了这中病毒的诡计,借安装更新的名义给我装病毒,幸亏我的c盘小,那几天天天只剩1M空间还以为是同学给我装了什么软件,杀完毒发现还有1.5G,何其毒也!


 

你可能感兴趣的:(misc)