| 魅堂寺竹's profileice-creamBabyPhotosBlogLists |  Tools  Help |
|
September 24 与病毒共舞2006年9月24日 20:55
为了纪念这意义重大的一天,特此更新我的BLOG
事情是这样发生的:
2006年9月23日 13:45
我的163邮箱突然收到一封名为《共产党九大罪恶行径》的电子书籍,出于好奇,我下载了邮件所带的附件,就在我打开附件的一瞬间,诺顿的杀毒软件突然跳出警告——backdoor.greybird。没想到传说中的灰鸽子竟然有空临幸于我的硬盘,顿时心中不知是喜是悲,百感交集之下,我只能show出诺顿,但不愧是传说中的病毒,在我运行杀毒软件之前0。0000001秒,她已经给我致命的一击。
无奈,我拜倒在了她的石榴裙下。
在FMAT我的硬盘,重装了WINDOWS后,我终于迎来了新生,但谁知道,这才是噩梦的开始。。。
双击D盘打不开。。。只能靠右击;
打开D盘,莫名的出现autorun.inf和command.exe两个文件;
系统的进程中出现了两个LSASS.EXE;
一系列的光怪陆离的变化另我迷失方向。。。
于是我坚决的按下了DEL键。。。我删,我删,我删啊!!!
可是。。。每次当我打开D盘,为什么他们还在那里。。。。。
他们就如同雨后春笋般茁壮成长。。。
我的心已经给了GREYBIRD,怎么还能有你们来骚扰我
于是,我踏上了反骚扰的长征路。
不知道有多少人和我一样中了这个病毒,可以肯定的是,这个病毒很牛,特别牛,就想阿鲁迪巴那么牛。
但她有个很好听的名字——如雪(如其名,和雪花一样散落在你注册表中的多个文件中)
说她牛,因为不管你的杀毒软件是什么,对她来说都没用,凡事只能靠自己,要相信,我们的脑子比杀毒软件更厉害。
下面介绍如何手动进行我们的反骚扰计划:
病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. 该病毒新建如下文件: c:\newtro文件夹 c:\program files\common files\INTEXPLORE.pif c:\program files\internet explorer\INTEXPLORE.com %SYSTEM\debug\debugprogram.exe %SYSTEM\system32\Anskya0.exe %SYSTEM\system32\dxdiag.com %SYSTEM\system32\MSCONFIG.com %SYSTEM\system32\regedit.com %SYSTEM\system32\LSASS.exe %SYSTEM\system32\EXERT.exe 解决方法 1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1132".   2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦). 截图如下:    删除如下几个文件: C:\NEWTRO文件夹 C:\Program Files\Common Files\INTEXPLORE.pif C:\Program Files\Internet Explorer\INTEXPLORE.com C:\WINDOWS\EXERT.exe C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe C:\WINDOWS\Debug\DebugProgram.exe C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\regedit.com 在D:盘上点击鼠标右键,选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. 3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。 将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目: HKEY_CLASSES_ROOT\WindowFiles HKEY_CURRENT_USER\Software\VB and VBA Program Settings HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项 HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项 将HKEY_CLASSES_ROOT\.exe的默认值修改为exefile(原来是windowsfile) 将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1(原来是intexplore.com) 将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" –nohome 将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif) 至此病毒清除成功,注册表修复完毕.Enjoy It . 作到这一步时,发现原来WINDOWS目录下系统自动生成了一个regedit.exe,那么把regedit.com删除就可以了。
TrackbacksThe trackback URL for this entry is: http://ice-creambaby.spaces.live.com/blog/cns!215829407C824092!235.trak Weblogs that reference this entry
|
|
|
