昨晚回去检查了一下,似乎是干净了。
然而,在点击了一个存在本机上的htm文件后,才发现这个文件的时间已经被篡改,打开一看,文件尾被添了一句javascript语句,转向a.158dm.com/one/arp.js,心想可能又中招了。但似乎没有发作的迹象。搜索了一下硬盘,发现除系统文件夹里的htm文件以外的所有htm文件统统地被添了尾巴。
好奇心之中,想着开着刚更新的瑞星,就去看看a.158dm.com主页是个什么人的东西,刚一打开,就看到在狂下载东西,赶紧关闭IE,为时已晚,瑞星也打不开了。
强制关机后重启,系统变得慢死了,任务管理器中发现有三个不明进程占用CPU达20%以上。打开资源管理器,却没有发现以前那些明显的病毒文件。祭起windows清理助手,清理了15个对象,重启时还死了一回机,再次祭起清理助手,再清除一个对象,第三次清理时没有对象了,再启动瑞星,在临时文件夹中杀出9个木马类exe文件。目前似乎又恢复正常了。
现在的疑惑是:
1、瑞星的实时监控、主动防御,为什么防不住这种网页恶意代码?而个把月前出的清理助手却能清除?
2、我要继续使用(不外传)这些被加了尾巴的htm文件(分散在不同目录中,数量不少,偶尔使用),是不是只要在hosts文件中添加127.0.0.1 158dm.com这句即可?
再次谢谢lqqk7老大了。
