本人于1.28上网不小心打开了个网页,中了马。在经历了三天以及数次杀毒失败后,没有重装系统和用还原,终于把那一堆木马群给灭了。在这里写点经验和方法,希望对各位有帮助。
系统:xp sp3,联网方式:pppoe 杀毒软件:瑞星全套,才升过级
所中病毒:orz.exe,Trojan.PSW.Win32.××××.×××(好多个,不同类型,名称例如mnmhgsrv.dll等)30564035(纯数字型的,也是不少),usp10.dll和psapi.dll,病毒自动访问的的网站:
http://www.710sese.cn /*****/(好几个个子项目,这网站就一毒源)
中毒症状:首先是瑞星开始报病毒,然后瑞星在系统托盘区的图标消失,所有监控失效,卡卡和瑞星防火墙被迅速干掉。瑞星主程序虽然还可以杀毒,但灭不了病毒,才杀不久随即蓝屏;还原精灵被干掉;无法进入安全模式;语言栏实效;一联网就自动下载病毒;迅雷能安装但用不了,瑞星一杀毒就蓝屏。任务管理器中出现3278134.exe等纯数字进程还有orz.exe。重启后语言栏依然没有。
杀毒:前期准备:论坛手动杀毒包(置顶帖里有,我再发次),usp10.dll和psapi清理工具(天月上传的,版本1.31,不知道她有没有更新的专杀)streng,XDELBOX 1.8 ,阅读论坛手动杀木马群的置顶帖和猫大版主的usp10.dll手动杀毒贴(记得下载他那里的病毒库)。对与部分机器不能下载的问题,我建议用其他机器来下载,然后用U盘传,这次病毒很少感染病毒。
注意U盘里不要有exe文件!小心被植入usp10.dll步骤:
1.拔网线断网!这很重要,不然木马会自己下病毒,下的比杀的快!我那机连了不到1分钟就下了十多个新病毒。。。退出QQ,,飞信,重要邮箱等以保护密码。
2.打开任务管理器(ctrl+del+alt 键)或是其他监控软件,手动干掉可疑程序进程。进程鉴别:纯数字的进程,例如32872.exe,很明显的病毒:
orz.exe,anymie360.exe,找出他们的路径(可用系统自带的搜索,记得搜索所有文件夹,包括隐藏和受保护的文件夹),打开文件夹强删!建议用工具删(winrar可以看隐藏的文件)(我对与那些可疑进程就是百度一下,若不是可以肯定的无害进程就干掉,包括ctfmon.exe, cinme.exe我都干掉了)。扫描streng日志,自己或是上传到论坛分析有什么毒可以杀的(我是自己分析的)。
清除IE的临时文件!(工具-internet选项浏览器历史记录-删除,我建议用优化大师之类的软件来清理,系统自己清的不是很干净)3.试着可不以跑杀毒软件主程序了,若可以则用杀毒软件配合杀,跳到步骤5
4.用XDELBOX手动杀毒,具体参看猫大版主的帖子
http://bbs.ikaka.com/showtopic-8592261.aspx5.用USP10.DLL清理工具开始清理,注意多清几次。重启前修复IFEO劫持,可以用steng手动修复或是用工具包的工具,里面附带操作的。
对于扫出来但杀不了的毒,用工具里的各种强制杀毒工具灭它!
6.卸载杀毒软件后再用usp10.dll重新扫。直到清干净了再重装。那些用不了的软件如迅雷也是如此。清理注册表(就是把那些关联病毒的注册表项给删了,我的经验是打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,把那些古怪的和在中毒时才修改和创建的项全删了,打开注册表编辑器:开始-运行-regedit,然后用鼠标点)
7.再次用streng扫LOG日志,上传到论坛让高手看看有毒没。
8.确认没毒了重新联网,用任务管理器监控有无异常。
9.修复受损系统,这个自己可以弄。我这提供个正常的ctfmon.exe 用于修复语言栏,将以前的ctfmon.exe重命名,把这个复制过去。再把以前的删了。
因本人下午有事,其实更加水平有限,暂时写这么多,希望对各位有用!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)
