Aiyooo^TM

MD中了木马群,部分症状:无法复制粘贴文件,映象劫持,QQ目录内果然有了 psapi.dll文件… 病毒太多.只记住了进程里有两个数字进程和一个ailin.exe进程,且貌似多出一个svchost.exe进程,不过尚无法判断svchost.exe是否被病毒文件替换了.百度了一下解释说病毒在系统的system32目录和其他目录下释放dll文件和其他程序.本想运行360检查一下当前进程,居然无法运行- -!.360是不行了(似乎瑞星也无法运行),由于木马运行基本都是要连接网络的于是CMD中输入netstat -a命令,先看看占用端口情况,运行fport.exe并没有发现当前网络的可疑程序,不管那么多断网再说!不报希望的启动江民竟然可以运行,逃过此劫了.(电脑里本来装了江民可有时江民对cpu占用颇高便退出了程序,刚裸就中了)打开了监控就提示发现几个木马程序,但远没有检测到更多病毒文件.启动sreng慢慢来吧,凭经验删掉了注册表中的可疑项(误删了几个安全项 ),和几个映象劫持.将catch和临时文件清除重起.启动后发现不大对头!回想刚才删除注册表可疑项时,误删了经sreng系统关键文件验证(verified)的安全项.造成系统低层调用的某些程序无法启动.开始也没有记住删除的键值和注册表路径,更没有备份注册表的习惯!时间不早了,睡觉先 近一小时的木马清理战暂告一段落吧.

Second day

参照和我相同OS傻小孟的注册表,编辑了部分相关设置.重起后总算抒了口气,基本是正常启动了.现在要解决的问题是恢复粘贴复制功能,替换被病毒文件替换的系统文件(包括dllcache文件中备份的系统文件).
引出无法复制粘贴的原因是rpcss服务调用了\WINDOWS\system32\下的rpcss.dll被替换的文件,按search到的操作方法只要还原了病毒文件,在修改注册表项就解决问题.如何去将那从朋友机器中拷贝的正常文件复制过去呢?对.DOS命令可以用啊,于是乎敲入命令”copy x:rpcss.dll windows\system32\“,同样操作替换了dllcache中相同文件.由于同目录和dllcache目录下的userinit.exe文件也被病毒文件替换了,结束了系统中的userinit.exe进程,同样将文件换成了正常文件.要说明的userinit.exe只是在开机时被运行，OS启动完成后便会结束，如果在任务管理器发现它是常驻进程就有可能是可疑文件。
重起复制粘贴功能恢复了正常.
用XDELBOX工具删除了马群释放的那些病毒文件,不过自己还是不太放心病毒清除是不是彻底,根据当前流行木马的线程插入技术,随服务启动的特点,又检查了当前系统启动的服务项和容易被dll病毒依赖的进程模块信息,不过对于这种线程插入病毒还是很难去分辨的 .

Tags:木马

随机日志

• 主题更新
• DOM最常用的方法和属性(DOM Scripting)
• MSDN Library 下载
• 给学校做的首页
• 简单的手风琴效果
• 感冒~