看进程,有个非常可疑的“6123t.exe ”,肯定是毒了,还能是什么,开始杀
1,打开冰刃,只有1个6123t.exe,别的一切正常,查看路径 c:\6123t.exe,结束这个进程
进C盘,居然没系统+隐藏,真嚣张。。
rar备份,然后直接删除
(我备份的目的是为了上传到“病毒样本”的版块)
(冰刃下载:http://www.antidu.cn/html/7/2007/9/antidu_2007923130549.html)
2,打开文件夹选项,显示隐藏+显示系统
(具体操作,可以看 http://www.antidu.cn/html/3/2008/1/antidu_200811993101.html )
(给菜鸟朋友用,工具:http://www.antidu.cn/html/7/2008/5/virus_200853214634.html )
3,进system文件夹,为什么进这里?因为木马都喜欢这。
进去后马上就发现了好几个exe文件,都是隐藏+系统属性的,然后再查看创建日期,全是2008-5-29的时间
这些文件属性不正常,文件名怪异,时间吻合我中毒的时间。删除!
4,再进入system32文件夹,这里的文件比较多,看起来很是累,这里有个大家介绍个小技巧
右键--排列图标,把”修改时间“和”按组排列“选上,这样可以很容易的显示出病毒文件。。
发现了个”.vbs“病毒文件,还有N多的DLL文件,发现在正常模式下不能删除
同时在drivers文件夹内发现3个驱动文件,同样不能删除
5,文件判断完毕,下面开始注册表的清理工具
打开”木马辅助查找器“(下载:http://www.antidu.cn/html/7/2007/9/antidu_2007923125849.html)
找到”启动项管理“,全部删除就可以了
”文件关联管理“,点”自动修复“
6,上面的第5步有个小问题,appinit_dlls不为空,值为我们在第4部发现的N多DLL文件。
我用SRENG修复,发现一修复完,病毒又自动修改回去。试了几次都一样
没办法,手动吧。打开注册表(运行--regedit),找到appinit_dlls的值,然后一样是修改成空,病毒一样自动改回来。。
看来是这些DLL文件已经注入进程了,病毒一发现appinit_dlls被修改成正常值,则立即修改。。
病毒DLL最喜欢注入的进程就是IE和explorer.exe,那就用任务管理器结束掉explorer.exe(我这个时候没开浏览器)
再次修改appinit_dlls,好了,可以修改了。
7。病毒文件判断完毕,注册表也清理完毕,重启,进入安全模式!
8,开机狂按F8,进人安全模式,一进入马上进入system32,然后那些改死的DLL文件和驱动文件。。
成功删除。别着急,清理下系统垃圾,有可能有什么遗漏的病毒文件隐藏在temp文件夹里
有自己写的小工具--"电脑系统垃圾清理工具FileClean",很快,系统垃圾清理完毕。。
工具下载:http://www.antidu.cn/html/7/2008/1/antidu_2008124113451.html
先不要退出安全模式,看第9步。。
9,在安全模式下全盘杀毒!!!
这一步我没有操作,因为我认为病毒应该杀完了,而且xx杀毒挺浪费时间。
不过还是写出来,给菜鸟朋友看,这样还是比较安全的措施。
10,重启进入正常系统,msconfig没有看到可疑的启动项目,C盘里的也没有先前出现的病毒文件。
病毒xx完毕
本人使用 AVG Anti-Spyware木马专杀工具也可以xx
xx绿色xx软件 内有汉化版(装事件记得语言选择英文,之后再用汉化就OK)