又中毒了!又是该死的木马!屡删屡现!看着木马杀客的杀毒日志上又出现那几个已经熟悉得不能再熟悉的病毒名字,我仰天长叹:这几天病毒真的要跟我长相厮守么?!
火都来,就不信删不了你!我静下心来,反思了好一会,觉得用木马杀客是解决不了这个问题的,得想个别的方法才行。凭真觉,这些是修改了文件关联且会随机启动的木马,于是下载了个autoruns来查这些病毒的启动项,并找到了它们的注册表信息,一一删除掉。经过大半小时的奋战,终于把它们的大部分注册信息给删掉了,有些删不掉的只好先留着。以为已经大功告成了,于是再重启电脑,再用木马杀客查扫描一遍~~结果让我大失所望的是,这些病毒还是巍然不动地挺在那里。真气愤啊,天杀的东西我就不信解决不了你。考虑一下,我决定上网好好查查这个家伙的底细。
哎,还真不是个简单的木马,原来电脑里所扫描的那些毒都是让一个随机启动程序"Torjan program "(它的位置是"C:\WINDOWS\WINLOGON.EXE")释放出来的,是一个变态的传奇木马。运行病毒文件之后创建以下文件:
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\services.exe
修改EXE文件关联。
添加到启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Torjan Program----------C:\WINDOWS\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Torjan Program----------C:\WINDOWS\services.exe
修改SYSTEM.INI 原始值应该为shell = Explorer.exe 修改为shell = Explorer.exe 1(实现启动加载Explore.exe后紧接着加载1)
各在磁盘根目录中添加文件autorun.inf,打开磁盘就会激活病毒。
多种方法来启动自己保护自己,比较难查杀。
所幸的是,在同一篇文章中还找到了解决这个木马的方法。
查杀过程:
下载SREng.exe,并改名为SREng.com (下载地址:http://www.kztechs.com/sreng/sreng.zip)运行SREng.com,在“系统修复”→“文件关联”里勾选“.EXE”项(如果EXE关联错误默认就会勾上的),并“修复”,恢复EXE文件关联 。然后打开IceSword(下载地址:http://www.xfocus.net/tools/200509/IceSword_en1.12.rar),结束病毒的进程。注意进程里面有两个services.exe,正常的为C:\WINDOWS\system32\services.exe,那么另外一个就是病毒的进程了。结束了病毒进程之后在IceSword里面打开文件,找到并删除病毒所创建的文件(文章开头列出了这些文件)。打开注册表(开始-运行-regedit) 找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除其中的Torjan Program----------C:\WINDOWS\services.exe
再找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
把其中shell的值改回为shell = Explorer.exe
然后在每个盘的根目录中找autorun.inf文件(先显示隐藏文件和系统文件),找到就删除。
重启之后病毒就不会再出现了。
另外可能病毒杀死后会出现双击IE浏览器系统提示找不到iexplorer.com文件,这个时候你直接选浏览,然后找到iexplorer.exe,确定就可以了。
操作完这一切之后,为了验证是否杀得干净,我再次重启电脑,用木马杀客扫描,哈哈哈,终于再也见不到那几个熟悉的名称了。真是大快人心啊,解恨解恨真解恨!
参考文献:稻草公子答《Torjan program 是什么东西?》 http://bbs.cpcw.com/archiver/?tid-807351.html
| 流金岁月 | |||||
| 网志分类 | |||||
|
|||||
| 搜索本站 | |||||
| 友情链接 | |||||
|
|||||
0008340
|
|
||||||||||||||||||||||||||||||||
