五千年(敝帚自珍)

主题:【原创】中毒了…… -- bluesknight

共:💬29 🌺21
全看分页树展 · 主题 跟帖
家园 这个病毒叫infostealer,王道士有张疗毒方

这个病毒的特征是先进入TEMP的文件夹,在启动后改变了很多exe文件的关联,有个很明显的特征是有些程序的LOGO会变花了。除了在很多文件夹里都增加了一个_desk.ini的新文件,windows的文件夹里还可以看到有DLL.dll,logo1_,1[1]等奇怪的新文件,在system32也增加了个zll.dll的文件,如果run msconfig可以看到有个rundll32.exe,有人给出了比较完全版:

1.exe

1976.exe

2.exe

3.exe

555s.exe

6.exe

7627_db_client.exe

8165_db_CONFIG.EXE

AB2DLL.DLL

access98.dll

AjanConf_Eng.exe

AjanServ.exe

AjanWiew.exe

au.exe

au_eq.exe

b.exe

Client.exe

clock.exe

consoleserver.EXE

country.exe

csfix.exe

dale earnhardt 1951-2001.exe

de_l.exe

dl.exe

dll3.exe

EPS.EXE

fasth.exe

gauu.exe

gdwxp3.dll

gHookDll.dll

Gip111exe.exe

Gip111jpg.exe

hollday.exe

ibm00001.dll

ie_0907.exe

inet.exe

MINE_b.exe

mir2.exe

mIRCupd.exe

msapin32.dll

msctl32.dll

mx_10.exe

PRICOL.DLL

RatCT.exe

rundll32.exe

scrs.exe

Server.exe

setup.exe

sndctl32.dll

snddrv32.dll

sproc32.exe

svchost.exe

sys5.exe

sysconfig.exe

systrimit.exe

Troj-BAT.PSW.MiniLD.f-2.exe

Troj-BAT.PSW.MiniLD.f.exe

Troj-Dropper.Small.AE.exe

ttt1.exe

uk_ip.exe

update.exe

us_our.exe

V2.exe

veja457.exe

win32vxd.dll

windereuchlei.exe

work.exe

wow.exe

wsl21390.dll

[email protected]

yp.exe

z.exe

zt.exe

其中很多看起来非常亲切,因为都在抓狂的时候拉过手喝过酒。这些先不忙着删除,因为重开机还会自己出来。网上看了些怎样杀除这个病毒的介绍,都不怎么working,自己杜撰了一个汤头,竟然有效,供河里使用W2000和XP的朋友们参考。

1,最好是先找一台没受病毒感染的机器,下载AVG FREE EDITION杀毒软件,网址如下:

http://free.grisoft.com/doc/2/lng/us/tpl/v5

点download free version的小框子,下载完毕后再下载全部的更新,共有四个:

http://free.grisoft.com/doc/24/lng/us/tpl/v5

然后把这五个文件放在一个文件夹里,可以用U盘,也可以烧在CD上,最好不要通过网络传到需要杀毒的计算机上。

如果朋友相信norton防毒软件还能工作,可以这里下载更新:

http://www.symantec.com/avcenter/download/pages/US-N95.html

2,首先,断开其余计算机,或者断开怀疑有病毒的计算机的网络连接,开机按F8,会出现一个菜单,选1,安全模式或2,带网络连接的安全模式,我选的是2,如果还有其他硬盘先断开。

3,机器启动完毕后打开我的电脑,在每个驱动盘符上点右键,选共享和安全,去除所有的共享(如果发现被奇怪的共享为“C$”并还提示被多次共享,就恭喜你捕获了一台中毒的机器)

4,关闭系统复原,可以在控制面板的系统里找到,这点一定不要忘记。

5,放入CD或者U盘,找到放置AVG free edition的那个文件夹,点击AVG那个彩色图标开始安装,在选择升级的时候点文件夹,找到放置AVG文件的文件夹,就自己升级到最新的版本,然后继续,到扫描计算机,如果发现病毒时弹出窗口,可以选择不管和让病毒隔离或下地狱。

多扫描几次,直到不再发现病毒为止,有些应用程序可能需要重新安装。如果计算机原来安装过NORTON杀毒软件可以重新打开下载更新,再次扫描,在下让AVG冲锋,Norton殿后,感觉比较有效。网络中如有其他计算机也要重复上面步骤逐一检查,这个病毒的感染力是比较强大的。

另补充一点,病毒会在很多(几乎是全部)文件夹里留下个_desktop.ini的文件,到此一游,消闷解愁的风格。可以运行CMD,在每个盘符号下打入:

del _desktop.ini /f/s/q/a (可不要输入错了,如果错删了desktop.ini会不会欲哭无泪呢?还是不要试为妙)

或者可以用文件搜索方式,点更多高级选项,勾选搜索隐藏的系统文件和文件夹以及子文件夹,寻找出所有的_desktop.ini然后删除。

亡羊补牢ABC:

1,放置Administrator密码

2,不采用共享

3,个人计算机可以安装zone alarm免费版这个软件,可以很有效的保护计算机不受侵害。

这个病毒是木马和病毒结合型的,Symantec原来把这个病毒定义在危害轻微,老虎这次打了盹。好在9月20日的更新已经可以很有效的防治这个病毒。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河