瑞星+优化大师+中毒时间
6月29日下午。本机在安装电脑监视器时不幸中毒,中马。瑞星被强行关闭且无法开机,每次开机输入密码后自动关机。问题严重!
尝试用DOS命令恢复系统。失败。病毒将系统操作系统启动选择项删除。
进安全模式。卸载并重新安装瑞星。然后在普通模式下登陆系统。成功{可见该木马针对杀毒软件设计了一套自我保护系统。}成功后立即升级瑞星至最新版本,杀毒。遗憾的是仅仅杀出一个病毒。按照个人经验该木马仍然潜伏在计算机系统中。(建议瑞星加强对木马的探测)
果然。运用优化大师的任务管理器察看:发现三个可疑进程
第一个可疑进程explorer.exe。。。大家一定急着反驳说这个是系统进程,请看仔细了。该进程应当是属于系统进程,可总是被木马清道夫提示。仔细一看,其进程的位置居然直接在c:/windows下。可疑。真正的explorer.exe进程所在位置应当是c:/windows/system32下。想了想,一定是木马篡改了。并将自己的程序伪装成系统程序且代替启动项。于是我对该程序进行了强行删除。系统提示我说
“系统。......的被损坏”不着急。我将c:/windows/system32/explorer.exe复制到c:/windows。系统运行正常。]第二个可疑进程nior.exe。。。我100%确认该进程不是我所见过的进程,我自己的任何软件都不会携带此进程且系统进程里不可能有此项目。但是瑞星对此并未作出反映。于是我只好再次运用优化大师查询该进程的来源以及其相关信息。很好。在网络上没有对该进程的任何描述。我只好自己在优化大师定位下找到该程序。居然也躲在c:/windows下,很可恶。刚开始我不敢强行粉碎该程序,有点担心,最后我想了想系统是在6月29日出现问题,于是我想该程序创建时间一定在2008年6月29日,果然。于是我豪不手软的将其删除掉。粉碎
第三个可疑进程gfwk.exe......。估计是该木马的核心了。每次启动系统都会自动启动该进程。在查看了其创建时间也是2008年6月30日后,我粉碎了该进程。
然后接下来的事情就简单了。在c:/windows下将所有文件按照创建时间排列好,将6月30所创建的所有新程序进行检查,一共删除了8个程序。接着用优化大师清楚可以启动项目{此时的可疑项目的图标全是未知,证明我将那些可疑程序粉碎后它们在注册表的遗留都成为无效的了。]然后清理注册表。
最后重启系统,一切恢复正常。
心得啊。以后中毒中马千万不要着急,瑞星很好用但不是万能的,还是要结合其他软件多管齐下。嘿。还有一定要记得系统出现问题的时间,一定要记得。。。。。。
菜鸟首帖。嘿。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )