主题:【原创】中毒了…… -- bluesknight
在播放之前,把你认为可疑的视频文件检查清理一下就OK了。
其实,更好的办法是下载电影时去可信的地方,用可靠的方式下载,就根本不担心这个问题了。我从网上也下载了不少电影,从来就没有碰上过这个问题。
我看的时候把moden关掉
以及一大堆综艺节目,都没事。实在没想到会中招……
真是人倒霉了喝凉水都塞牙
打开自动防护就行。另外,有hijackthis可以删除广告软件。
这年头,什么都不安全。
这个病毒的特征是先进入TEMP的文件夹,在启动后改变了很多exe文件的关联,有个很明显的特征是有些程序的LOGO会变花了。除了在很多文件夹里都增加了一个_desk.ini的新文件,windows的文件夹里还可以看到有DLL.dll,logo1_,1[1]等奇怪的新文件,在system32也增加了个zll.dll的文件,如果run msconfig可以看到有个rundll32.exe,有人给出了比较完全版:
1.exe
1976.exe
2.exe
3.exe
555s.exe
6.exe
7627_db_client.exe
8165_db_CONFIG.EXE
AB2DLL.DLL
access98.dll
AjanConf_Eng.exe
AjanServ.exe
AjanWiew.exe
au.exe
au_eq.exe
b.exe
Client.exe
clock.exe
consoleserver.EXE
country.exe
csfix.exe
dale earnhardt 1951-2001.exe
de_l.exe
dl.exe
dll3.exe
EPS.EXE
fasth.exe
gauu.exe
gdwxp3.dll
gHookDll.dll
Gip111exe.exe
Gip111jpg.exe
hollday.exe
ibm00001.dll
ie_0907.exe
inet.exe
MINE_b.exe
mir2.exe
mIRCupd.exe
msapin32.dll
msctl32.dll
mx_10.exe
PRICOL.DLL
RatCT.exe
rundll32.exe
scrs.exe
Server.exe
setup.exe
sndctl32.dll
snddrv32.dll
sproc32.exe
svchost.exe
sys5.exe
sysconfig.exe
systrimit.exe
Troj-BAT.PSW.MiniLD.f-2.exe
Troj-BAT.PSW.MiniLD.f.exe
Troj-Dropper.Small.AE.exe
ttt1.exe
uk_ip.exe
update.exe
us_our.exe
V2.exe
veja457.exe
win32vxd.dll
windereuchlei.exe
work.exe
wow.exe
wsl21390.dll
yp.exe
z.exe
zt.exe
其中很多看起来非常亲切,因为都在抓狂的时候拉过手喝过酒。这些先不忙着删除,因为重开机还会自己出来。网上看了些怎样杀除这个病毒的介绍,都不怎么working,自己杜撰了一个汤头,竟然有效,供河里使用W2000和XP的朋友们参考。
1,最好是先找一台没受病毒感染的机器,下载AVG FREE EDITION杀毒软件,网址如下:
http://free.grisoft.com/doc/2/lng/us/tpl/v5
点download free version的小框子,下载完毕后再下载全部的更新,共有四个:
http://free.grisoft.com/doc/24/lng/us/tpl/v5
然后把这五个文件放在一个文件夹里,可以用U盘,也可以烧在CD上,最好不要通过网络传到需要杀毒的计算机上。
如果朋友相信norton防毒软件还能工作,可以这里下载更新:
http://www.symantec.com/avcenter/download/pages/US-N95.html
2,首先,断开其余计算机,或者断开怀疑有病毒的计算机的网络连接,开机按F8,会出现一个菜单,选1,安全模式或2,带网络连接的安全模式,我选的是2,如果还有其他硬盘先断开。
3,机器启动完毕后打开我的电脑,在每个驱动盘符上点右键,选共享和安全,去除所有的共享(如果发现被奇怪的共享为“C$”并还提示被多次共享,就恭喜你捕获了一台中毒的机器)
4,关闭系统复原,可以在控制面板的系统里找到,这点一定不要忘记。
5,放入CD或者U盘,找到放置AVG free edition的那个文件夹,点击AVG那个彩色图标开始安装,在选择升级的时候点文件夹,找到放置AVG文件的文件夹,就自己升级到最新的版本,然后继续,到扫描计算机,如果发现病毒时弹出窗口,可以选择不管和让病毒隔离或下地狱。
多扫描几次,直到不再发现病毒为止,有些应用程序可能需要重新安装。如果计算机原来安装过NORTON杀毒软件可以重新打开下载更新,再次扫描,在下让AVG冲锋,Norton殿后,感觉比较有效。网络中如有其他计算机也要重复上面步骤逐一检查,这个病毒的感染力是比较强大的。
另补充一点,病毒会在很多(几乎是全部)文件夹里留下个_desktop.ini的文件,到此一游,消闷解愁的风格。可以运行CMD,在每个盘符号下打入:
del _desktop.ini /f/s/q/a (可不要输入错了,如果错删了desktop.ini会不会欲哭无泪呢?还是不要试为妙)
或者可以用文件搜索方式,点更多高级选项,勾选搜索隐藏的系统文件和文件夹以及子文件夹,寻找出所有的_desktop.ini然后删除。
亡羊补牢ABC:
1,放置Administrator密码
2,不采用共享
3,个人计算机可以安装zone alarm免费版这个软件,可以很有效的保护计算机不受侵害。
这个病毒是木马和病毒结合型的,Symantec原来把这个病毒定义在危害轻微,老虎这次打了盹。好在9月20日的更新已经可以很有效的防治这个病毒。
盘符后没有$才是真共享
另外这个病毒感染力实在强大,要杀干净真是够困难的
通常只有用“Administrator”的用户名才能看到“C$”之类的默认共享,XP有管理员权限的用户在打开共享时,会有一个“如果您知道风险,但还是要共享驱动器的根目录,请单击此处”的共享向导。
俺用的笨办法,每台机器都同时断网反复查杀,最初还在internet临时文件夹里有发现病毒,现在已经平安无事了。
第一次没在意, 以为只是个小case,结果norton报错的线程1分钟内上升到900多个, 每隔一分钟CPU占有率就100%,不停的往外发送和下载插件.
第二次重装,发现装后的72小时又中招, 晕死,原来他在所有的驱动器下面都装了一个备份......
第三次就不说了, 唉, 丢人哪
后来我拖了一个卡巴斯基试用的,在带毒状态下勉强搞干净了.这东西比较强,不过经常搞的系统一顿一顿的.
中小企业版的2.0,3.0都可以,自带防火墙;可以在应用程序企图访问网络的时候阻断;只要没有设成可以信赖的IP地址,就算网线连着也没办法访问。EMULE上就有。瑞星的防火墙实在是没办法说好用,装上以后会导致访问不了内网的机器和打印机。
另外C盘可以分小一点,只装系统和应用软件;装好NORTON和更新后备份。这样,电脑系统可能几个月都不会需要重新装;重新装的目的只是为了检验硬件是否出现问题。最好不要用外面流行的GHOST恢复盘来恢复安装;
只不过关键的几个进程被卡巴阻止了.
原来用的是诺顿的企业套装8.6,防火墙用sygate,这两样都比较旧了,很难适应现在的新情况.这个病毒比较讨厌的地方在不停的自我复制,杀都杀不干净,而且除了重新分区,没有什么特别有效的办法.
谢谢老兄指点,我去下载一个3.0的来试试看,不过现在我对诺顿没有太大信心.
咔吧就是好就是好就是好~
不过卡巴的系统资源占用率好像更大些。国产的杀毒软件除了kv基本都是废物
it is so good.