和病毒折腾了两天
现在这病毒,真够疯狂的,好多都挂在系统进程上,有的还给系统装一个windows服务,有的更NB,直接做成驱动了。前两天我的机器刚接上网,正新鲜呢,搜了个XX网,结果还没上呢,就中病毒了,进程列表里一会儿出一个这,一会儿出一个那,跟赶趟儿似的,时不时还给我来个重启,要不来个死机,气死我了,本来我的机器配置就不好,赛扬一个G,挂着一条128一条64,其中那条64还只认32M,被病毒一闹腾,更没法用了,耽误了我两天时间。
提一下,那些安全卫士360,诺顿,在这些病毒跟前根本就是摆设,诺顿升级到20070417根本报都不报,呵呵,安全卫士倒是一下子能检查出十来个恶意软件,扫完,杀掉,提示重启,再扫,外甥打灯笼--照旧,下载了windows优化大师的那个WoptiClean,也扯淡,根本不行,都说魔高一尺道高一丈,我呸,反过来说还差不多,最讨厌那些杀毒软件号称这技术那技术,连个网页病毒也杀不了,还出来混,我刚把诺顿也卸载了,装了它简直是侮辱我的机器,瞎占着内存不办实事儿,你以为你是腐败分子呀,跑这儿偷铁来了,全删全删。倒是装个360,至少能给你检测出来,我也好做后续的工作,另外把windows xp的防火墙打开了。
这些东西我看只能手工来查,自动的工具不好实现,而且有些特征你根本就提取不出来,抽象不到那个层次,手工杀的时候还得靠着感觉走呢,根本不知道哪个文件可删,那个文件不可删。刚开始用sysinternals的ProcessExplorer和ProcessMonitor轮番折腾,先ProcessExplorer看有那些进程,检查出怀疑的进程,然后用ProcessMonitor看这个进程加载了哪些dll镜像,操作了哪些注册表,对哪些磁盘文件进行了读写,又创建了那些进程,看了一宿,倒是看出点儿啥来,可是删了后,还出,好多东西都在temp文件夹下自动生成,真看不出来是哪个进程创建的,删了后重启一会儿就又有了。急死我了,本来今天春游去呢,结果昨天折腾到 半夜,今天给睡过了,也没去。
今天上午万念俱灰,重装吧,装了个矮人DOS工具箱,重启进DOS重装吧,我硬盘上有XP安装文件,这可好,进DOS的时候明明选上smartdrv了,在拷贝安装文件的时候慢的和牛似的,后来到百分之20的时候实在忍受不了了,重启,手工打smartdrv,i386下也没有,是虚拟的DOS盘里也没有,我靠,这不是折腾人吗?就那么装吧,拷贝文件整整从9点多,拷贝到11点多,我看lucene实战看了10来页,中间睡了一觉,然后还洗了两件衣服,最后又刷了遍牙,吃了个苹果才拷贝完,终于喘了口气,按回车,重启,这哥们可好,直接进以前的XP了,根本不接着装,当时哥们都快哭了,死的心都有了,后来想,这不正是一个考研咱脾气的机会吗?忍了忍,还是再想法吧。
下载了个SREng,IceSword,加上ProcessExplorer,ProcessMonitor,safe360一块折腾,最后才把病毒给控制住,虽然360还能检查出四五个流氓软件,不过进程里好像看不到什么可疑的东西了,先观察一阵子吧。
主要肯了下下面的帖子
shualai.exe病毒清除方法
http://www.dayanmei.com/blog.php/ID_557.htm