今天中了svchost.exe这个病毒^_^。我当然知道系统有个进程也是这个名字,但
是我还不知道确切应该叫什么。
在CMD里运行一下tasklist /svc(或者tasklist /svc >c:\1.txt),看看有哪些
svchost.exe后面是“暂缺”。
我发现病毒是由于我有使用金山清理专家查看系统进程的习惯,看了一下路径,
竟然是\Windows\System32\下,不禁小小郁闷了下。尝试关了下,当然是跳出那
个倒数计时关机的框框了,不禁令我想起了冲击波之类的病毒。
想起了毒霸有在线杀毒的,我就去
www.duba.net里头在线杀毒,结果——让我意
外了一下——我点击在线杀毒的页面后(
http://shadu.duba.net/),竟然跳转到
我机子上自己弄的IIS型的网站(放在我机子上的),这点倒是不错^_^,挺有新
意的感觉。
我就换了下系统,到ubuntu下载了360的相关软件,不过遗憾的是竟然忘记下载专
杀工具了,哎,脑子有点笨了。
在安全模式下,瑞星和360都杀不出来,于是我到正常模式下升级了一下360,终
于好死不死地查到了一个Win32.SillyFDC……Silly!?呵呵,似乎真有点。
我就边用360查杀,边给金山清理专家装个在线杀毒的。
随手敲了下360的系统全面诊断,本来想再检查一下进程的——肯定还在的,不过
金山清理专家在升级,隐藏了安全项,拉到最下面竟然看到一个“vv1dap32”,
有点熟悉……
百度了一下“vv1dap32”发现果然是木马程序,于是搜索“vv1dap*.*”……厄,
竟然没搜到!于是点了举报,没想到举报两次都失败。哎,先放着吧
查着查着,看到两段话:1.由于其攻击微软inetinfo.exeIIS服务程序的IIS漏洞(
请见IIS Unicode漏洞分析),并植入名为SvcHost.EXE的黑客程序运行,该蠕虫
病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪
;2.与“红色代码”相比, 红色代码主要攻击IIS中的索引服务,而“蓝色代码
”针对IIS自身的Unicode漏洞,攻击范围更广,传染性更强,黑客程序运行后将
全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序
SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项,添加了自动运行黑客
程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将
比红色代码更加可怕。
想来应该是了,要不怎么连在线杀毒的链接也改了,哎,突然觉得自己见识太少
了。于是下了两个专杀,分别是红色和蓝色的^_^。
在C盘根目录下建了个killsvc的文件夹,下的专杀工具都放里面了。
尝试了一下,发现金山清理专家装在线查杀的功能也可以用安全工具箱,发现被
提示成红色鲜艳的病毒进程已经发展到11个了……
咦~突然想起有点不对,今天几乎都在睡觉,下载的东西都有挂载瑞星自动查杀的
,竟然都没查出来,哎~虽然以前有下载病毒运行的行为,但那是台式机,驱动好
搞定……猛然想起笔记本的备份也是两个月前的了,卖糕的……看来得再整一下
了。
恩,金山清理专家有说明病毒:Win32.Loader.b.14848。Google不到!汗!百度
到了一项。哇,好少。
下载了一个Unlocker和冰刃。厄,下午睡太久了,有点晕……
晕,金山清理专家的在线杀毒功能未免装太久了!反正等着也是等着,我顺手升
级了一下瑞星。呵,我用的是瑞星+360,然后附加一个金山清理专家——主要是
清理垃圾,查看进程。
关掉,重新开了一下,原来是在升级,就跳过去了,毕竟等太久了。
重启一下到安全模式进行杀毒,没想到红色代码和蓝色代码的专杀一直杀到内存
不能读的错误,360和瑞星都杀不到任何病毒……查看了下进程所在的确切位置进
行搜索,准备尝试手工删除,竟然搜索不到,卖糕的……
算了,Ghost吧……
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)