-
1 # 秒懂追劇
-
2 # 我的小棉花
從中午到凌辰2點,終於用手工搞定了自己遇到的最難纏的流氓軟體,睡不著,把過程記錄下來慶祝!
流氓軟體名:未知
過程如下:
本本借朋友玩了幾天,拿回來的時候,朋友拿回來的時候告訴我機器著了,防毒軟體試了都無效,可能是新的木馬或者流氓軟體(或變種)。
因為機器上東西很多,我可不想格式化或者全新安裝系統,於是開始想各種辦法:
1, 停止可以的程序,用360safe(雖然大家都說他垃圾,呵呵,我還是抱著先試試,解決一點是一點唄),不過實踐證明,360好像只喜歡和雅虎助手鬥,別的都沒查出來。
2, 瞎弄了一通,把一些可能是流氓軟體的給先幹掉了,不過彈出51ZC的問題依然存在。
3, 清楚登錄檔,發現了很多51zc想過的項,嘿嘿,這個流氓軟體的作者有點意思,把所有放流氓軟體註冊資訊的地方分別取名baidu,google,yahoo,不過刪除這些資訊後,最多1分鐘就又有了,嘗試儲存登錄檔後立刻拔電,問題仍然存在,初步判斷還有別的招招。
4,暫時無計可施,回到安全模式,查詢近期系統中增加的Exe檔案,把可能是流氓軟體的通通幹掉,不過好像沒有用,重啟進入系統後,不是進51ZC,就是什麼“XX情婦”之類的網站
5, 檢查病毒發作時,系統程序完全是正常的,初步懷疑可能用了些隱藏的辦法,查詢系統服務等,雖然幹掉了些東西,不過好像和這個流氓軟體無關。
7,因為懷疑流氓軟體和IE有關,裝上IE7,嘿嘿,好像有點用,不過過了一會兒,發現流氓又冒出來了,狗東西居然把www.51zc.com放到IE的信任目錄裡邊去了,刪掉仍然沒有用。
8,繼續檢查,發現windows/system32下面有個winsys16_070212.dll和winsys32_070212.dll有點可疑(一個需要顯示隱藏檔案,一個需要顯示系統檔案才能看到),並且無法同時刪除,檢查登錄檔發現HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下Userinit項中採用rundll方式啟動了這兩個dll,檢查其他機器,沒有這兩個dll的存在,可以確定這個地方一定是流氓軟體啟動的地方了。
10,如果我的機器裝了登錄檔監控的軟體可能就可以搞定了,不過我沒有,看來還要想辦法。
11,不管採用什麼方法,包括安全模式,總是無法同時檔案和登錄檔資訊。
12,呵呵,終於到最後了,想到了好久不用的dos,......,進入系統,刪除這3個流氓軟體檔案(因為沒有dos啟動盤了,我用的是xp光碟,進入dos修復模式,可能由於流氓軟體作者設定的是系統檔案,不能刪除這幾個檔案,於是換了一招,先把這幾個檔案改名,讓windows啟動時找不到就行了)
13,重啟機器,終於安靜了,刪掉改名後的病毒檔案,清理一下機器,可以收工啦。
這是俺手工防毒耗時最長的一次,也是最麻煩的一次,邊殺邊罵,這個狗東西做的確實隱藏有點深,希望這個對別的受害者有幫助。
回覆列表
無論手機還是電腦,下載安裝軟體要從靠譜的正規的平臺下載,尤其電腦下載的軟體安裝時確實經常會有很多捆綁,一定要注意每一步,另外安裝軟體不要用預設C盤,我習慣在D盤建一個soft目錄,安裝軟體的目錄,方面以後清理。另外如果實在覺得軟體流氓程度太高,果斷解除安裝,體驗太差直接拉黑