又中毒了

2007年10月31日星期三

这么短时间两次中毒也真是不容易啊……(这算自我安慰不?)



这次不是IE的错,是我自己去找破解补丁的结果,研究Acrobat制作PDF研究得火热,为了一个自动生成PDF书签的插件去找破解补丁,在电驴上下载的,并不像是病毒,用小红伞也没有扫描出来。结果,一运行就看见效果了——小红伞当场被击杀,马上提示软件安全自检无法完成,杀软无法启动。

第一反应:拔掉网线。

好吧,去卸载了小红伞重装试试:结果在小红伞解包的时候提示无法创建临时文件。哦?那就是有黑手在阻挠小红伞的临时文件目录啦?去临时文件目录下一看,没有什么异常,再清空了临时文件夹依然无效。安全模式蓝屏,很正常似的。

这时不得不上网搜索小红伞这个不正常的症状,一接上网线,感觉有一个暗暗的进程在反复试图启动(这都仰仗于我的声音设置里,程序结束时会有“咔”的一声响),一看任务管理器,是IExplore.exe(还是得怪你哦!),反反复复的出现。不管啦,去用Firefox搜索吧,结果Firefox正搜着呢,突然弹了N多个IE窗口出来,都打开同一个网站,但都找不到页面。眼看就要无限循环了,赶紧重启机器,拔掉网线。

估计病毒作者并不是利用这样的方式来防止我上网搜索,但这偏偏阻止了上网搜索这条路,安全模式被破坏(我试了SREng2,修复失败),我又没有旁的电脑,不好弄哦。重启后想出了个偏方:我自己把IE打开着,然后启动Firefox,接上网线——果然没有弹窗现象了,歪打正着。接下来的事情很轻松,一边看电视一边杀毒了。

中的毒倒不是小喽罗,是Rootkit级别的。在一个法语网站上找到的清理教程,用到了在国外很流行的清理工具:

  • 先是F-secure出品的Blacklight,用来探测Rootkit型的隐藏文件和进程,查到9个长相古怪的文件(其中有一个是c:\windows\boot.ini,真是够怪的);
  • 然后用Old timer制作的OTMoveIt,把Blacklight报告中的文件批量清理干净;
  • 再用Combofix(虽然有繁体中文)进行完整的系统扫描,清理干净重启后,Combofix报告中提示安全模式依然故障中;
  • 这时才发现自己有一个Safeboot Killer修复工具(作者是zcp08765),用它很快修正了安全模式;
  • 最后,顺利装上小红伞,顺手用Windows清理助手(ArSwp)搞定了几个余党。
总共耗时1小时30分,最有趣的是中间那个主动开IE的阻拦操作。

0 个评论: