本文记录了一次清除顽固病毒的经历,通过使用多种工具和技术手段,最终定位并解决了病毒修改系统文件的问题。
今天,一个朋友电脑IE的首页又被别人QJ了。。 用各类杀病毒,杀木马的工具折腾了一段时间后,发现主页修改还是有问题:那就是无论我怎么样把主页选定在空白页,那个该死的网页都一定会在我浏览器的首页里面蹦出来。此时,我还剩最后一个杀手锏:system repair engineer。一般,我总是用它做最后的扫尾工作,因为大都被工具不能自动查杀的病毒或者木马多多少少都要修改系统的配置,用这个工具可以查到这些蛛丝马迹,对手工查杀它们还是很有帮助的。
但是,这次还是令我失望了(后来知道,因为这个病毒是修改了正常的XP系统文件)。系统配置,包括开机启动项及加载的驱动及服务根本没有任何异常。这让我很郁闷跟恼火,因为我查看了当前系统正在运行的进程,根本没有不熟悉的进程啊,而且系统加载的DLL跟驱动也没有问题,什么东西这么厉害??
浏览了一下手头上的工具单,发现还有hijackthis没有使用,于是习惯性的点开了它的工具包。。接下来便是用该工具进行扫描,发现了一个服务,并不是系统的,需要加载rundll32.exe,值得注意的是hijackthis竟然提示“文件丢失”???这可是系统关键模块啊,丢失了怎么启动XP啊??赶快“dir rundll32.exe /s/a“搜了一下,发现有rundll32.exe这个文件,心想应该是原来中的某个病毒在不同的目录下也生成了一个rundll32.exe病毒体文件,并加载了一个系统服务,不过它没有存活下来,估计是被我的MCAFEE给拦腰斩断了。哈哈。。刚想“exit“,突然发现了问题,这个rundll32.exe虽然位置没错,可是文件的修改时间确不是熟悉的2004年8月8日(正常的系统文件日期也可能是2004年的某一天,但应该跟system32目录下所有系统文件日期一致),而是今天!。赶忙到windows窗口下查看这个文件的详细信息,基本可以肯定这个文件应该是微软的。但为什么日期修改了呢?会不会不自动升级了这个文件?但当我看到我已经把系统升级给禁用的时候,再考虑到修改日期为今天,正好是中毒的同一天,基本上可以肯定,就是病毒修改这个文件。这样不但可以骗过我们,还可以轻松随系统文件启动病毒体(呵呵,其实当年在大学的时候,研究dos下的病毒多数是这种感染方法)。
找到病毒体,接下来的事情就容易了,删掉旧文件,然后从我的笔记本上把正确版本的rundll32.exe文件拷贝到她的电脑上面(不过这里面一定要记住把拷过来的文件事先加上“只读”属性,要不然,因为病毒常驻内存,会把好的文件又感染的!!!!!)。搞定,重启。郁闷,发现那该死的首页又蹦出来了~。。
突然想到是不是病毒修改了多个系统文件?? 于是搜索了一下所有修改日期为今天的文件,发现有如下系统文件也被感染了:
c:/windows/system32/rundll32.exe (这个开始已发现)
c:/windows/regedit.exe
c:/windows/system32/runonce.exe
c:/windows/system32/userinit.exe
c:/program files/internet explorer/iexplore.exe
(此时,突然感到庆幸。要是病毒把所有的可执行文件都感染了怎么办?真是不寒而栗。。 -_-!)
另外,同时发现了病毒的其他文件:shelllink.exe,shelllnk.tlb,run.exe(目录忘记了。好像是c:/windows下面,大家可以搜索一下,其中第二个文件必须关闭所有的IE窗口才能正常删除!)
接下来的事情就很顺利了,把感染的系统文件全部替换后(一定要记住在用新文件替换感染文件之前,把新文件设置只读属性!!)。删掉病毒其他的文件,重启。呵呵。世界终于清静了。。
p.s 我很痛恨病毒,木马以及一切的恶意代码,我一个好朋友的QQ就被盗Q木马给弄走了。现在还没弄回来。。
如果大家有什么问题或建议,可以留言给我。。呵呵。大家共同反黑~ 盼天下无毒的那天。
扫一扫
1276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
