今天看到c盘根下有个auto.exe,点右键用卡巴居然没有扫出来,有点托大,就直接双击运行了一下,本来期望卡巴提示杀毒的,前两天对付一个什么syswin32病毒就是这样,扫描不到,但运行就报告有病毒了。这次运行也没有报告,中招了!
当然,中招也不必惊慌,看看进程,结果没有可疑的。运行360看看,结果不让运行。看来不怕卡巴,怕360,进入360的文件夹,复制可执行文件,改名,再运行。OK,可以运行了。查木马,杀毒。果然有结果,主要是这几个东西。
查恶意软件,也能查到几个,都大同小异。反正都是一样,彻底删除,删了又出现。
这个结果很正常,如果卡巴都不认识的病毒,一杀就掉,说来也不太可信。
继续用冰刃分析,没有发现可疑进程,再看看几个主要进程的模块,原来在这里:
几个主要的进程exploer,winlogon等都被注入了。卸载一下试试,结果,居然不行。一卸载进程就报错,winlogon刚刚打开还没卸,就重启了,厉害厉害。
进安全模式,等半天都不行。没耐心,继续进正常模式试试。
用SReng分析分析,看看启动,有两个可疑的,但显然不是主要的地方。看服务,果然在这里,非常的醒目:
可是,要怎样关掉它呢,直接停没用,一会儿就被恢复了。因为内存各个进程都有它的程序在。关闭各个被注入的模块,刚刚试过,会导致报错。安全模式,似乎要很久。
于是想到一个釜底抽薪的招,进dos下,直接把这个文件删掉。还好我的ghostxp的系统,很方便就可以进到dos了,我的c盘还是fat32的,进到system32下,dir /a顺利找到这个隐藏文件。但郁闷的是,这个似乎很牛的矮人工具箱居然没有attrib命令,昏倒。还好可以用move,否则还得折腾半天。
重启后,再用360一杀,一切都清静了!