昨天公司有人说自己的电脑中了网页病毒,她想安装上网助手来修复浏览器,却发现上网助手都安装不了。我到现场检测,发现电脑操作系统是win2000,浏览器主页被病毒设置为www.17777.com。
电脑上装了诺顿8.1企业版,它对病毒毫无反应。于是卸载诺顿,安装McAfee 8.0i企业版(公司有McAfee的服务器)并升级到最新的病毒库,重启后,有病毒报警信息,提示C:\WINNT\Ass_HOOk.DLL是BackDoor-AWQ.b.dll.gen病毒,但是无法清除也无法移动。直接去C:\WINNT目录搜索,却找不到Ass_HOOk.DLL文件。上网搜索该病毒的相关信息,发现相应的资料很少,估计可能是新病毒或者新的变种病毒。
用McAfee全盘杀毒,竟然没有发现病毒。之后用瑞星注册表修复工具修复了浏览器,然后重启电脑,在DOS模式下找到并删除了C:\WINNT\Ass_HOOk.DLL文件。再次重启后,McAfee仍然报Ass_HOOk.DLL文件的病毒信息,而且浏览器又被修改了。用瑞星注册表修复工具修复浏览器,观察一阵,发现一分钟内,浏览器又会被修改回来,说明还是有某个病毒后台程序在运行。
打开任务管理器,没发现可疑程序,打开启动项(msconfig),也没有可疑的启动项。不过重启后发现任务管理器进程里面有个Iexplore.exe进程,这是IE浏览器的进程,但是重启后我并未打开过IE浏览器,怀疑是病毒控制IE浏览器暗地里上网下载病毒程序。电脑是开机就上网,为此我禁用了上网用的网卡。再次修复浏览器后重启,在DOS下删除了C:\WINNT\Ass_HOOk.DLL文件,然后进入Win2000,果然McAfee不再报告Ass_HOOk.DLL文件的病毒信息。但奇怪的是,IE浏览器主页还是被改成了www.17777.com,而且修复后仍然还是被改回来,这说明可能还有另外的后台病毒程序在作怪。
由于McAfee对病毒的后台程序毫无反应,为此我不得不让卡巴斯基出马。我在电脑上安装卡巴斯基v3.5瑞士绿色版,不开实时监控(否则会与McAfee的实时监控冲突),然后升级了卡巴斯基的病毒库。之后我用卡巴斯基全盘扫描,最先扫描到C:\WINNT\SYSTEM32\usign.DLL的文件,提示它是Win32.StartPage类型的病毒,但是它被其他进程锁死,无法清除。于是我安装了Unlocker v1.7.1这个软件,然后找到usign.DLL文件,用Unlocker查看是哪个进程在使用它,赫然发现竟然是Explorer.exe进程在使用它。我在任务管理器里结束了Explorer.exe进程,再用卡巴斯基杀毒,它就可以杀除usign.DLL文件了(其实卡巴斯基对于无法清除的病毒文件,会在电脑重启后将其改名,这样病毒也无法发作了)。之后卡巴斯基还在C:\WINNT\Downloaded Program Files目录以及C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files目录里杀出许多文件名为uninstall.exe的病毒程序,它们也是Win32.StartPage类型的病毒,估计是用来生成usign.DLL和Ass_HOOk.DLL的原始病毒程序。杀毒的时候我还打开注册表编辑器,搜索含有“usign.DLL”内容的键值,将其删除或修改。
病毒杀完后,再次用瑞星注册表修复工具修复一次浏览器,然后重启电脑,病毒就没有再发作了。
根据以上杀毒经历,总结如下:
1、McAfee的查毒和杀毒能力有限,关键时刻还是要信赖卡巴斯基。
2、由于已经了解到病毒文件的位置,可以采用手工清除。首先在Windows环境下清空Temporary Internet Files目录里的临时文件,然后到DOS下删除Ass_HOOk.DLL、usign.DLL和uninstall.exe文件,接着再次后进入系统(断开网络),用瑞星注册表修复工具修复IE浏览器,再打开注册表编辑器,将有“usign.DLL”内容的键值删除或修改。最后再重启电脑,系统就恢复正常了。
3、非手工清除方法就是用卡巴斯基杀毒,然后用瑞星注册表修复工具修复IE浏览器,再手工清除注册表中含有usign.DLL的键值即可。
4、分析杀毒过程,个人认为病毒是修改注册表,让Explorer.exe进程调用usign.DLL文件,从而实现自动修改IE浏览器设置,这样杀毒软件在杀usign.DLL文件时,因为它被正常的系统进程调用,杀毒软件无法结束系统进程,所以杀毒软件也就无法杀除它。如果病毒是个单独的程序文件,杀毒软件就可以大大方方地杀病毒进程了。可见这个病毒更加狡猾些。