|
前几天遇到一个很麻烦的 SpyWare,很厉害!
一、是在看网页的过程中中毒的。一个普通的页面(也许不那么普通),在浏览过程中崩溃(怀疑是缓冲区溢出),接着机器反应变慢,CPU 占用率上升。
二、打开任务管理器,发现 cmd.exe、net.exe、explorer.pif 等非正常进程,并且发现进行中止杀毒软件的操作(运行的命令中涉及各大知名杀毒软件)。
三、自动打开浏览器进程,但又不显示实体窗口。
四、硬盘根目录下出现 autorun.inf、explorer.pif 等文件。
五、注册表中在各个角落添加 N 多自启动文件,且大多为 dll 文件。(用 autoruns 查看)
六、系统目录下添加许多可执行文件和链接库文件。
七、进程表中在执行完一系列的 cmd.exe、net.exe 后无明显异常常驻进程,但用 PE 可见系统 svchost.exe 及其他进程中被注入大量其他线程。
八、系统日期被改到 2002 年的同一天。
九、时间可以改回来,但所有注册表中的添加内容、系统文件夹下的文件、根目录下的文件都被实时监控,一旦被修改即在一秒钟之内恢复。
十、破坏安全模式。
解决方法:
〇、断线。
一、将时间修改回来。
二、运用策略,禁止 PIF 文件、net.exe 及其他一些出现的恶意文件运行(DLL 文件无法直接禁止运行)。
三、运行 PE,查找注入的线程,找到文件,改名(XP 这点又好又不好,正在运行的文件是可以被改名的);同时在同一目录下新建同名的文件夹。
四、直接拔电源,防止文件回写。
五、重启,删除被改名的文件。
六、删除注册表中的相关项目。
七、修复安全模式。
八、用金山的在线查毒,确保无漏网之鱼(我一向用的金山,而且是旧版本。虽说防毒能力一般,但使用方便,对系统占用较小。其实在我自己家的电脑上是不装杀毒软件的)。
九、检查,确保防火墙上没有被钻洞。
经过两个小时的奋战,终于完工。
|
![进士[630经验]](http://icon.zol.com.cn/bbs/detail/time_star.gif){kind=icon}
![九品[24530经验]](http://icon.zol.com.cn/bbs/detail/time_yueliang.gif){kind=icon}
