早晨開機,IE居然自動啟動並訪問了地址為www32.websamba.com/......的一個網站。同時,收藏夾里多出來雲天,搜狐商城,彩霞谷等等。
居然入侵了我的電腦! 鄙視下那些沒有職業道德的Developer,還有那些垃圾網站。
鄙視歸鄙視,清除垃圾還得自己動手。應該不會很麻煩,運行下Symantec AntiVirus,和M$的AntiSpyware。
居然不起作用,Faint!
上網查一下這是甚麼東東,找個半天,總算發現一個名為W32.Qeds@mm的病毒比較有嫌疑,但是看了詳細的描述後,又不像,因為這種病毒會複製文件inetdbs.exe,然而我沒有找到這個文件。
只好親自操刀了。
輸入regedit,"註冊表編輯已被系統管理員禁止"!過分,用這種技量。不用擔心,寫了一個如下的reg腳本。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
運行一下,禁止被解除了。
進去看了看HKLM\Software\Microsoft\Windows\CurrentVersion\Run,沒有異常的程序。再搜索websamba,找到了許多項,把找到的Key全部刪除(同時把和它並列的一些其他類似的可疑項刪除),退出。再運行IE,OK。
本以為這就搞定了。誰知道重新啟動後,websamba捲土重來。怎麼回事,它是怎麼自動運行的?
趕緊又檢查了一下註冊表里的Windows\CurrentVersion\Run,沒有問題啊!? 難道是做成了NT Service,看了看Service List,也沒有問題。
疑惑中,想起來很老土的自動啟動,會不會在那裡。打開開始菜單的程序\啟動,果然,一個名為Internet Explore的快捷方式,看一下URL,正是討厭的www32.websamba.com。
DELETE!
又檢查了其他地方,桌面上,和開始菜單快速鏈接區里都存在同樣的一個快捷方式。
DELETE, too!
接著把註冊表按前一次的方法清理一遍,重新開機,搞定!
看來這個Spy的感染程序隱藏在網頁里,而感染方式主要是通過改寫註冊表,在啟動欄和一些地方建立具有迷惑性的Web快捷方式。應該說是一種很低級的手法。
也許正是因為低級,那些老牌的殺毒殺姦軟件才沒有注意到它吧。
雖然低級,但是被感染上了,還真是挺討厭的。所以寫出此文,供那些可能遭遇websamba.com黑手的朋友們參考。