这些天跟小蔡一起住。小蔡找到工作了,在国贸那边,富邦大厦。打算这周去上班,但因为太远,要另外租房住。
小蔡的电脑还没有弄过来,只好用我的电脑上网。他又不习惯用 firefox (还好意思说是计算机专业的?),居然要用 ie 来上网。都怪我平时太相信我的本本的抗病毒能力——我的本本从装好到现在,几乎没有中过毒——我就直接把电脑扔给他了。也不知道他上了什么网站,到昨天上午的时候,忽然瑞星弹出窗口警告一个 directdb.exe 要修改注册表的信息,直觉的打开任务管理器,果然,一堆的 iexplore.exe和莫明其妙的 notepad.exe出现在列表里。想都没想就把它们都结束了。上网一搜,(百度搜索结果,爱问搜索结果),果然是病毒,而且还是威力强大的“威金病毒”的变种:艾妮变种。按照说明先删除了注册表里面的启动项,再删除了 %ProgramFiles%\Common Files\System\ 下的 directdb.exe (隐藏文件),wab32res.dll 等文件后,exe 是没有了,可那三个 dll 如同孙悟空的脑袋一样,删了又出来,删了又出来,简直是无语了。
今天上班时,想起一个 filemon 的软件,下了下来,运行 filemon 的监控,再把那三个 dll 删除,这次看出端倪来了:三个 dll 文件是从 %windows%\system32\dllcache 里复制过来的,把 dllcache 一股脑的全删除了 (更安全的处理方式是:开始->运行->cmd->sfc /PURGECACHE),这回太平了,世界清静了。让我觉得郁闷的是,病毒注入了很多进程,其中包括 winlogon 进程,来检测那三个 dll 的存在,如果不存在就从 dllcache 里复制一份过来。我不知道我这样删除了文件,是否还有病毒残留。于是我重启了一次机器,在机器刚启动的时候就打开 filemon,仔细的看,没有发现对 dllcache 的请求,也没有发现那三个 dll 文件再次出现。终于,可以肯定的说,病毒被我清除干净了。
写在杀毒成功后面的话:对于杀毒,最好还是预先避免中毒。建议:1,不用 IE 上网,你可以用 maxthon,或者其他的基于 IE 内核的浏览器,如果你认为自己是专业人士的话,推荐用 FireFox ;2,不要上那些乱七八糟的网站。
Post a Comment