 今天上某个网站中套子了!浏览器给劫持了,无端的打开某个网站!打开任务管理器发现里面莫明其妙的多了2个进程"c:\windows\system32\com\smss.exe"和"c:\windows\system32\com\lsass.exe".这两个进程跟系统正常差不多!不仔细注意任务管理里面的路径还真给蒙了.
既然发现了就手动删除吧(PS:我的卡巴没报警 ),开始想这个应该是小菜一碟,就启动到安全模式下面把这两个文件都删除了,并且把所有默认的临时文件的内容都清空 了不就结了嘛!
开机F8切换到安全模式,找到文件删除时候发现文件正在使用,打开任务管理器发现在安全模式下面这两个进程竟然还大摇大摆的在那执行着呢! 在任务管理器中终止进程的时候发现当终止一个准备要去终止另外一个的时候,原先终止的进程又出现了!NND,这两个小玩意是互相保护着对方呢!
看来普通的删除不管用,那就用killbox来试试,结果发现仍然无效!!! .找来hijackthis分析了一下系统启动项,竟然没发现什么特别之处,又把注册表启动项.还有msconfig启动的服务里面都仔仔细细查了一遍!发现一切正常! 这个就奇怪了,难道这两个玩意还有什么隐身之术?这个时候我想到了iceSword,这个工具有个比任务管理器好的地方就是她可以同时终止多个进程!既然那两个程序互相保护,那就同时把他们终止了!!!
这招果然奏效!同时终止了以后这两个程序没有再重新启动!那还等什么啊,赶快用killbox找到两个文件路径,把他们统统删了啊!结果这次killbox提示我文件成功删除!哈哈 成功了! ,既然删除了就大功告成了就重启系统吧!
进入系统后在桌面上打开了任务管理器又看了看 没有那两个进程了!本以为就此搞定了呢,可事情突然有了变化,在我通过"我的电脑"打开几个文件夹以后,打开任务管理器却发现那两个进程又出现了!!!!!!!!!!!! 打开那个com文件发现那两个文件还好好在那呢!!!正在我一筹莫展的时候我突然想起来,系统刚启动完里面还没有那两个进程,但是我通过双击盘符打开文件夹以后却出现了那两个可恶的进程,原因找到了在我的C:\,D:\,E"\根目录下面肯定有个autorun.inf的配置文件,只要我一打开分区,文件就会自动给复制进去了!
找到了病症就可以对症下药了,还是靠IceSword这把利剑,首先把那两个可恶的进程终止掉,然后通过她里面的"文件"功能找到c:\,D:\,E:\的根目录,发现果然有"AUTORUN.inf这个文件"右击文件选择删除,next就去找罪魁祸首"c:\windows\system32\com\"下那两个文件,痛快的删除掉以后,重启系统,一切正常! [:06:]
注意:在"资源管理器"里面那个autorun.inf之类的配置文件是显示不出来的!(文件夹选项改了也不可以),需要用专门的工具才能显示并删除!
最后就是后悔没把那个配置文件拷贝一份出来分析一下病毒的备份文件在哪里呢 ,哎~~~!
以上是我个人今天中午跟病毒较量的一点点小小过程,拿出来跟大家分享分享!
大家要是有什么好的经验,也欢迎跟帖讨论讨论啊!
[ 本帖最后由 150120 于 2006-12-27 23:59 编辑 ] |
发表于 2006-12-27 23:13:45
楼主
发表于 2006-12-28 12:33:43
写的很详细,值得参考