文章来源:风洞这两天电脑中招了,费了不少时间和精力才让电脑恢复正常,现把清除病毒的过程写出来,让各位朋友以后遇到同样问题时知道如何处理:
电脑征状如下:
kaspersky 防火墙发现以下文件访问网络
50040034.exe
194038.exe
1.exe
GLJA9.tmp
PodcastBarMini.exe
PodcastBarMinistarter.exe
bgoomain.exe
还有上网时会自动弹出一个广告网页
同时kaspersky杀毒软件提示发现木马
TrojanDownloader.win32.Adload.ag
和TrojanDownloader.win32.Small.dsn
提示文件在C:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files下面数个目录内.文件名均为cf.scr.tmp
但文件无法删除,文件未找到
手动搜索该目录下也未发现目录,但该目录下所有文件都无法清除,转到安全模式也无法清除(按删除键无作用)
中毒过程:
这两天也没上过什么网站,只是下载了一个网络电视软件”播霸”(忘了在哪下的了…),安装后就出现中毒征状
分析过程:
手动搜索这两天新建的.exe文件,发现在c:windowssystem32msicn目录下有一ube.exe文件,用UltraEdit扫开,发现该文件有读取系统临时文
件夹的代码,但有杀毒软件查该文件未发现病毒.(请编程高手分析该文件)
删除该文件后不到一秒钟又出来了.看来该文件有自动备份功能(历害!!)
查看控制面板下用户账号发现来宾账号未打开,但有一系统统管理员账号密码被清空
在管理工具下本地安全策略内发现来宾账号已打开,并发现有一账号backup oper(账号被我删了记不清了)有远程访问注册表的权限
经上网搜索信息后得知,电脑是中了”灰鸽子”病毒和广告插件了
于是我准备先搞定广告插件:
1.用上网助手的插件管理专家来清理,结果发现该功能不可用了(TNND!看来上网助手什么时候也瘫痪了!只能手动清理了!)
查看系统进程未发现什么可疑进程,但在删除c:windowssystem32msicnube.exe文件时提示该文件无法删除,正在使用.看来是隐藏进程了
2.于是下载了一个叫”冰刃”的进程管理软件,据说可以查看所有隐藏的进程.安装后果然发现进程里有几个可疑进程
bgooomain.exe
ube.exe
rand32.exe
sndvo116.exe
记下文件目录后启动到安全模式,把这些文件全部删除了
在程序里面把什么”播霸”软件给灭了
还有什么windirected 2.0(好像是什么广告程序)竟然删不掉!
于是在注册表里面搜索windirected,找到后全部删除
再看程序里面没有了,搞定!
接下来我开始清理”灰鸽子”了
1.网上描述”灰鸽子”是这样的:属于“三隐”即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!
其实这个病毒跟wwwE.tmp等没关系,这只是病毒的临时文件,下面是参看网上资料和杀毒实践整理出来的:
2、进入安全模式
3、删除C:PROGRA~1COMMON~1systemmodmstd.dll
C:PROGRA~1COMMON~1systemmodmsdw.dll
C:PROGRA~1COMMON~1systemmsdc32.dll
C:WINDOWS .exe(exe前面有空格,如果之前已经用杀毒软件杀过,进入安全模式可能找不到mstd.dll, msdw.dll和 .exe)
4、在注册表里查找msdc32.dll,全部删除
5、在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWinlogon里,有userinit.exe ,逗号后面的c:windows.exe 删除(有可能没有这项,我的电脑就没有)
6.删除C:WINDOWSsystem32mscache *.cpz(下面有好多个.cpz文件,据说合并起来后就是cf.scr文件!历害啊!还会72变,连kaspersky都骗过
了!)
7.重启系统后一切正常了!
改完这些后,我把系统管理员账号和来宾号改名了,然后不允许SAM匿名账户和共享的匿名枚举.在系统启动时加载一批处理如下:
@echo off
echo off
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share g$ /delete
net share admin$ /delete
然后把管理员账号的密码也改了
下次从网上下载软件时可真要小心了.
随机文章