大早起來啟動筆記本電腦,一個名字很奇怪的程序,要求得到瑞星防火墻的通過許可。由于最近兩三天并未手動安裝任何的外來程序,立即拒絕了該程序隊網(wǎng)絡的訪問要求。
第一次查殺:4個流氓軟件和3個可疑程序
互聯(lián)網(wǎng)的環(huán)境實在是糟糕透頂,流氓橫行病毒肆虐。我第一感覺是“又中了流氓軟件的招了”,趕緊打開超級兔子查殺。果真如此:在系統(tǒng)中查找到4個軟件,屬于超級兔子可以殺滅的流氓軟件之列。ShdocvwHlp、ADPlus/MSPlus、通用搜索、Grandsoft。
通用搜索roogoo.com已經(jīng)被不少為網(wǎng)友和惡意軟件清理程序列為“新一代的流氓軟件”之一,ADPlus/MSPlus也可以從名字上看出來是個廣告插件,不知道何時,這幾位老大開始進駐到了我的電腦中,我一直沒有感覺到。
超級兔子還報告,在硬盤中找到以下可疑程序:
C:\WINDOWS\MSHOST.EXE
C:\WINDOWS\Config\SVHOST32.EXE
c:\program files\internet explorer\1sy.exe
看到svhost32.exe頭腦中轟的一下,預感到這次中的麻煩大了,這個名字在殺毒廠商最近預報的幾個木馬變種中都有提到。1sy.exe這個就更離譜了,放在explorer目錄的名下,微軟怎么會給程序命這樣的名字呢?至少可以肯定是一些寫的很垃圾的程序說產(chǎn)生的文件。
既然兔子發(fā)現(xiàn)了這些,趕緊用清理功能把這些都清理了。
第二次查殺:木馬克星殺敵未遂身先死
既然電腦中發(fā)現(xiàn)了svhost32.exe,我懷疑已經(jīng)被人中下了木馬。
安裝木馬克星之后,趕緊打開查殺木馬,木馬克星報出了一大堆的文字提示,我還沒來得及看明白,突然自動關閉。
![""]("http://netsecurity.51cto.com/files/uploadimg/20060904/2249160.jpg")
560)this.style.width=560;" border=0>再試,木馬克星已經(jīng)無法打開了,看來是被某個木馬程序或者惡意軟件給干掉了。木馬克星殺敵未遂,先被流氓給干掉了,然后就再也無法啟動了。
第三次查殺:不知不覺中,瑞星防火墻被干掉了
發(fā)現(xiàn)木馬克星不能使用之后,趕緊重新啟動電腦。再次打開超級兔子升級到最新版本再查,這次糗大了。
我電腦中被發(fā)現(xiàn)的可疑程序非但沒有減少,反而大大的增加,感覺這些像木馬病毒似的繁衍出了很多變身。
超級兔子提示在硬盤中找到以下可疑程序:
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\EXPLORER.COM
C:\WINDOWS\system32\RUNDLL32.COM
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\REGEDIT.COM
c:\windows\1.com
c:\windows\exeroute.exe
c:\windows\finder.com
c:\program files\internet explorer\iexplore.com
c:\program files\common files\iexplore.pif
c:\program files\microsoft\svhost32.exe
c:\program files\microsoft\svhost32.exe
超級兔子還提示,我的電腦又被3種流氓軟件插上:159定向搜索、npf、Kmedia。
超級兔子殺過之后,心想又趕緊請出360安全衛(wèi)士,查殺這些惡意的流氓軟件。
第四次查殺:360安全衛(wèi)士無法打開,重新安裝仍然如此
此時360安全衛(wèi)士已經(jīng)無法打開,重新在官方網(wǎng)站下載安裝之后,仍然如此。
第五次查殺:系統(tǒng)仍有多個不明文件,超級兔子提示沒有任何發(fā)現(xiàn)
![""]("http://netsecurity.51cto.com/files/uploadimg/20060904/2249161.jpg")
560)this.style.width=560;" border=0>用超級兔子查殺木馬和惡意軟件提示“沒有任何發(fā)現(xiàn)”,但是發(fā)現(xiàn)系統(tǒng)仍有多個不明文件,這個圖是C盤根目錄的截圖,憑直觀感覺名稱為1和down的文件絕對值得懷疑。
第六次查殺:升級瑞星防火墻,但是啟動選項無法禁止流氓開機自動啟動
![""]("http://netsecurity.51cto.com/files/uploadimg/20060904/2249162.jpg")
560)this.style.width=560;" border=0>升級瑞星防火墻,但是啟動選項無法禁止流氓開機自動啟動。而且我系統(tǒng)根本沒裝realplayer播放器,啟動的進程中卻出現(xiàn)了兩個“realplayer”,而且圖標也不是realplay的圖標。圖中紅色的幾個選項也都是惡意軟件的變身。
另外,優(yōu)化大師也無法沒法將其從啟動項刪除,總有一個刪不掉。而真正的realplayer是可以從啟動項刪除的。
第七次查殺:木馬防線2005+查出48個木馬病毒
![""]("http://netsecurity.51cto.com/files/uploadimg/20060904/2249163.jpg")
560)this.style.width=560;" border=0>[1]
病毒名稱 = Trojan-Downloader.Win32.Delf.aud
文件名 = C:\DOCUME~1\劉陽\LOCALS~1\Temp\CCG0.exe
[2]
病毒名稱 = Trojan-PSW.Win32.WOW.at
文件名 = C:\WINDOWS\WINLOGON.EXE
木馬發(fā)現(xiàn)查殺的同時,打開了同是該產(chǎn)品配套的“安天盾防火墻”。
第八次查殺:360安全衛(wèi)士找出U88和7939.com兩個流氓
木馬防線清理過之后,360安全衛(wèi)士又可以使用了。安全衛(wèi)士查出了兩個惡意軟件,原來“realplayer”文件名是7939.com這個大流氓的變身。
U88財富快車 - C:\Program Files\Common Files\UPDATE
7939.com - C:\WINDOWS\system32\REALPL~1.EXE
第九次查殺:瑞星“橙色八月”專殺工具提示兩個疑似
不放心電腦是不是已經(jīng)殺干凈,到瑞星網(wǎng)站下載了“橙色八月”專殺工具,查完提示,有兩個疑似病毒。但是該工具提示使用瑞星殺毒軟件可以殺。
第十次查殺:重新啟動,進入安全模式再次查殺
重新啟動電腦,進入安全模式,用之前使用過的幾款軟件再次查殺一遍。“橙色八月”專殺工具仍然提示有兩個疑似,但是瑞星殺毒軟件提示并未插到,而其它軟件也沒有什么發(fā)現(xiàn)。
天知道我的電腦是不是干凈了,至少我已經(jīng)不相信它是干凈的。
到此,我已經(jīng)無力再贅述什么,只是想請認識那些木馬、病毒和流氓軟件的作者,問候祖宗十八代,愿它們……(注意是“它們”,估計有不少中招的朋友已經(jīng)在心中問候過作者無數(shù)次了,此處省略的字樣包括“斷子絕孫”、“全家下地獄”等等800字)
