卸掉杀软,一起裸奔

2008年5月17日 | 标签:

汗,这次是真的中招了,c:\windows中多了两个文件,一个iexplorer.exe 一个开机自动启动的bat文件,受其影响,开机时会自动启动iexplorer.exe进程,不过只在进程出现,ie浏览器并未打开,ie主页被改,临时文件中有垃圾文件。

手动删除windows下两个文件,然后用兔子卸载掉两个插件,一个ie插件,一个gd_bin_ini插件,修复注册表,然后在msconfig中去掉被强加的自启动项,再更改ie主页,本想格掉d盘e盘,谁想没完成,好像是de盘中的文件在其它窗口中被使用,现在修改后重启好像没什么异常,再观察一段时间,ps:本人是裸奔族,不用杀软。

记下一个时间2007年9月30日21:45是这次中招时间,以后在系统盘中有这个时间的文件要提高警惕,可能这次手动清毒并未清彻底。

比,那个病毒好强,没清掉,重启后自动打开ie从网上下载iexplorer.exe放到c:windows目录下,ie主页被为下载病毒的地址,在ie临时文件中已找到那个网站,不过在浏览器中无法打开,现在iexplorer.exe又被加到自启动项中。

这个病毒好像是借助 realplay的自动更新来实与病毒作者联系,关闭real的自动更新后进程中的 realsched.exe过程在开机后不再自动运行,不过现在real不能启动,明显是中毒了,现正在想解决办法,杀毒软件都是垃圾,用卡巴和瑞星都描过了,毛都没发现。

目前想到的除了重装系统以外的办法:改掉explorer.exe的后缀名使其不能运行,或卸掉ierealplay 估计连wmp也要卸掉,因为感觉就是更新wmp时中的毒,汗,微软,反是自家的捆绑的软成了病毒借尸还魂的附身工具,现在就去找彻底卸掉被捆绑的软件的方法。

比,感觉是先被微软强奸,然后是被病毒强奸,算了,要是用这两种方法还是干不掉这个毒的话,就养着它,看它能把我电脑怎地。

这是一沟绝望的死水, 这里断不是美的所在, 不如让给丑恶来开垦,看它造出个什么世界。
又一种解决办法打开属性对话框,选择“安全”页面选择读取拒绝,但是不要删除文件,这样这个病毒可执行文件就会变成僵尸,无法执行,无法启动,而且占着地方,阻止了病毒无法再次写入感染。

用process explorer 看了下ieplorer.exe运行时调用的dlls和handls,保存下来好好研究下,里边应该有被修改的注册表项和其它一此病毒的藏身处,然后全部干掉,汗,比,不信搞不定个比,汗,现先了解下dll和handl。

汗,最近生活有点乱,黑白颠倒,现要去吃饭睡觉了。

通过在以c:windows目录下创建一个与病毒同名的空文件,然后在属性-安全-权限里将此文件设置为拒绝访问,原理:一个目录下不能有两个同名文件,所以病毒就不可能将自己再加到这个目录下,一来不能同名,二来没有权限,不过问题还没完全解决。

运用这个方法只解决了病毒开机后自动在后台打开ie从网上下载病毒并自动复制到c:windows目录下与ie主页被改的问题,但是现在有个问题,realplay虽说可以打开,但工具下real自动更新又被打开,你想要禁用时real就假死,明显是被病毒控制了。

还有就是ie插件和gd_bin_ini插件又被重新安装,再就是启动项中的又被加上realsched.exe和iexplorer.exe进程,其实iexplorer.exe进程已经没有威胁,因为它已经不是病毒而是被我调包了的空文件。

realsched.exe进程也不是问题,用同样的方法,用一个空文件替换掉原文件就解决了,只不过就是注册表里多了两个不能启动的启动项,没什么威胁,现在的问题是那两个插件如何解决,目前想到的方法,卸掉那两个插件然后找到它装插件的位置,将此位置设置为禁止写入,如果不行,就还用老办法:将插件里所有的文件都创建一个与之同名的空文件然后将原文件覆盖,然后将这些文件权限设置为禁止访问,让它想进来却做不到,哈,也不用去一个个找病毒文件,就养着它困着它,注册表也不用去清,虽说注册表已被修改,不过都是有名无实,掀不起什么大风浪。ps:杀软都是垃圾,继续裸奔,与病毒和谐共处。

现已差不多搞定,发现个规律,这个病毒开机后10分钟内,好像是在我联网后它就会修改两个东西,一是将 iexplorer.exe加入注册表自启动项,二是重新启用我上次已经关闭掉的realplay的自动更新项,不过我已经将iexplorer.exe 和realsched.exe调包,这两个进程现在开机后并不能运行,所以也就没什么威胁,两个插件也都被我调包,现在realplay的自动更新也没病毒控制,自动更新虽被启用但现在去更改自动更新时real并不会假死,至今看来好像没什么问题,这个病毒故且先留着,等以后看它不顺眼时再彻底清掉它,暂时先响应我党的的和谐社会。

汗,我的难忘的十一啊,就被吗比这个病毒给折腾了一个小半,算了,作者造这个病毒的目的也不是要破坏我们的系统,只是想了解下我们的上网习惯然后拿去给商家从中赚点小钱,也蛮不容易,汗,都是为了生活不是。记个时间,这次修改的时间2007年10月3日4:50--5:30,以后可能会用到。

还有一点就是文件的创建和修改时间很重要,在一个目录下与其它大多数文件的时间差别很大的文件很可能就是病毒自动创建的,还有就是你要知道你在什么时间装了什么软件或者对系统做了什么修改,有个问题,病毒难道不会自动修改本身的创建时间吗,在此呼吁下造毒高手们研究下这个问题,多多进步,多多放毒。

十一本想好好学点电脑方面的知识,谁想一不小心就中招了,折腾了三个晚上,不过还好,通过手动清除,现在看来电脑一切正常,汗,就这样了,以后上网多加点小心就是了,还有就是呼吁一下大家,卸掉杀软,一起裸奔,电脑中留点病毒,与之和谐相处,说不定还有以毒攻毒的奇效。