广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2770 个阅读者
04:00 ~ 4:30 资料库备份中,需等较久的时间,请耐心等候
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 我中了木马病毒!!!
我中了木马病毒!!!
作者: cnray 发表日期: 2006-09-19 16:00 文章属性: 原创 复制链结
http://big5.ccidnet.com:89/gate/big5/jade.blog.cc...showone/tid_91036.html

我的电脑中木马了,整整折腾了半天,真的是半天,才算搞定,其中经历惨痛之极。在这里和大家分享一下这过程中的经验和心得。

事情的起因是这样的,近期的公司病毒特别严重,多数是因为上网不注意导致的。我一直使用诺顿10的企业版防毒软体,虽然时常检测到病毒,但是我的机器还算安全。周六在杀毒过程中感到诺顿似乎检测的有漏洞,于是在网上寻找卡巴斯基6和麦咖啡套件。在找过十几个网站后,有一个网站资讯相当吸引人“最强的杀毒软体卡巴斯基6.0完全中文版,带最新病毒库及2010年的key”,于是我点击了下载,然后很快下来了,是一个安装程式,于是我下意识点击运行。

在五分钟之内,我电脑慢到不可忍受程度,我开始怀疑自己的电脑有病毒了。打开诺顿,却发现诺顿已经开始报错,不能正常运行了。按下“ctrl+alt+del”查看系统进程表,发现一下子多了七八个陌生的进程,有两个还中断不了。我意识到,已经中毒了。

那我就来看看这个病毒都对我做了甚么东西,导致我中毒如此彻底?先重新启动电脑,然后打开我的系统进程表,记录下来那些我陌生的进程名字。然后重新启动到安全模式,在注册表中找到对应的注册表项,逐一删除掉,这样下次启动时不会再自动运行这些进程了。可是偶然一次回复搜寻,发现刚刚删掉注册表项又出现了!真是见鬼了!!!

再删!又出来了。我再删,又出来。我删!删!删!结果每次都是转眼就加上了。

肯定是有病毒在我系统进程里面潜伏了,于是我在又一次打开了进程表,进程少了很多,可是有一个大写的WINLOGON.EXE是很陌生的,中止不了,提示“系统关键进程,不能被中止”。就是他了,肯定是他和我在捉迷藏,删又删不掉,怎么办呢?别急,我还有招呢。

我把可以删除的可疑文件都删除掉了,又把一些不反复回写的注册表项删掉,记录了我处理不了的两个程式,然后再次重新启动电脑。同时,我在光碟机里放下了PE工具盘。启动!,这次我进入的不是WindowsXP,而是PE工具盘的Linux系统,在这个仿XP的作业系统里面,打开我的电脑轻松的删掉了所有可疑程式,再次重新启动,我想这次搞定了吧,现在的病毒就是靠大量的垃圾邮件和网站来骗那些不懂电脑的人的,一点技术含量都没有!

正开心中,发现我的windows,出了几个错误提示后,速度依然很慢,不对啊?应该都清除了啊。用诺顿扫扫毒看看,还是无法启动诺顿。再看系统进程表,发现有多个SVCHOST程式在运行,我的电脑不应该开这么多服务啊,可是应该关闭那一个呢,关键是想关那一个进程都失败,看来我的手动杀毒不很彻底啊,只好使出我的压箱底的绝活了,脱机杀毒。摘下我的硬盘,然后另外找了一台刚刚装上我新下的卡巴斯基6电脑,然后开始扫描病毒。

提示估计使用时间是到明天的中午2点结束,天哪,不能这么扫描,直接扫描C盘吧,用了大约1个半小时,扫描出50多种病毒,原来病毒隐藏在 ie的启动插件中,只要启动,就会默认执行后门程式,后门程式像是战争中特种部队,把系统大开后门,并把早已经准备好的各种木马程式陆续下载到电脑上,然后感染系统文件,这样就可以暗自记录你在电脑上输入的账户和密码了。好玄啊,好在刚才我没有上网查工资是不是到帐,要不然的话,不敢想像。

杀完了毒了,我看看是不是还可以继续使用我的原有系统。把硬盘装回到自己的电脑上,然后开机,进入系统。一切好像都好了。

我想该收一下邮件了,点了一下OUKLOOK,等,等,等——,嗯?怎么提示选择打开方式,而不是进入邮箱的那个熟悉的介面?

点击IE,还是要选择打开方式,点击诺顿杀毒,也是同样的提示。

我终于明白了,这次我中的病毒非同寻常,他非但在系统里面留驻,而且破坏系统文件,而且为了保证自己可以运行,修改了系统的打开关联参数,的确很厉害。我似乎看到一副无赖的模样:我就是骗你中毒,偷你密码,中了毒要是想清除掉的话,我让你系统都没法用!!!我恨的压根痒痒,但是的确除了重新安装系统,没有更好的办法了。

这时候已经过去了接近三个小时了。没法子,再不装系统,明天安排的加班又泡汤了,赶紧吧!花了1个小时左右做好了系统。该装驱动了,刚刚要惯性的打开我的电脑袋的F盘上的drivers目录,突然想起来我既然中了病毒,那是不是可能我的其他盘上的文件也受到感染了?

老老实实的找到我电脑驱动的备份光碟,安装驱动,然后清除默认共用和系统还原;安装杀毒软体,打开windows防火墙,然后接上internet,升级病毒库(至少半个小时),升级到最新的病毒库后开始杀毒,2个小时过去了,扫描结束。我清点了一下,一共查出了四个硬盘分区中,153个病毒,全部不能清除,只能删除掉,这意味着我的电脑上存放的很多文件都被破坏了。其中包含我的sql数据备份和我的个人邮箱还有我保留的工具软体无数。三年的数据毁于一旦,就是因为我在大意之中运行了一个貌似好东西的软体。真是欲哭无泪了。

整个事件用了我大约超过5个小时的时间,丢失了我从03年起开始保存的一些资料,可谓代价惨重。



经验:
一定不要乱浏览不是自己熟悉的网站。

一定一定不要下载一些来源不可靠的东西。

一定一定一定不要运行你下载的那些来源不明的东西。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-12 17:12 |
TiAnYi
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x0 鲜花 x301
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

果然是个很可怕的病毒 所以我都不敢乱点东西=Q=


献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2006-11-13 17:18 |
YukiPhoenix 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x301
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

分享一下之前的心得
之前有几次同学用我电脑上18X的网站结果中木马
我把木马清掉以后还是有垃圾信涌到我的MAIL
结果我再"新增与移除程式"看到一个我根本没有安装的软体(软体名称是乱码,一看就知道)
移除之后就没有垃圾信了

另外,垃圾信最近也越来越强
明明就是今年寄出来的MAIL
收件日期却是1960?
我都没出生勒...
20几封垃圾信就这样藏在信箱底下藏了1个多月...

以上是小弟个人经历以上是小弟个人经历,如果有大大遇到类似情形可以试试小弟的方法


献花 x0 回到顶端 [2 楼] From:台湾数位联合 | Posted:2006-11-13 21:52 |
victor5566
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

果然是个很可怕的病毒


献花 x0 回到顶端 [3 楼] From:浙江 | Posted:2007-11-24 09:48 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.018024 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言