症状:
任务管理器查看发现异常进程,晕有两个explorer.exe,还有scvhost.exe不用这个名字我可能还不知道是啥,scvhost.exe都出来了,还一个是bleh.exe,和popup6011.exe,查看本地连接状态发现数据包接受和发送的数量超大,并且数据量急速增长。系统刚装的没防火墙,没有端口查看工具,就有用netstat -an简单看看好了,发现连续开了几十个端口。
解决:
没办法了只能禁用连接了,用任务管理器终止scvhost.exe,popup6011.exe,bleh.exe,还有两个explorer.exe,结果任务栏不见,当然得再运行系统explorer恢复正常,设置好显示系统文件,显示隐藏文件后搜索刚刚终止的几个exe文件。同时注册表里搜索删除关联的项,特别注意RUN,RUNEX,RUNONCE,RUNSERVER等。同时把搜索到的exe文件都删除了。
本想大功告成了,恢复网络连接,重启。当重启回到桌面时,桌面上生成了一个bleh.exe文件,查看进程发现bleh.exe,scvhost.exe有回来了,同时系统出现错误报告“CTF LORDED ERROR”并且跳出了两个DOS运行窗口,查看注册表,关于scvhost.exe,bleh.exe的项又被添加了,同时网络也基本被堵塞了,我想这下完了白搞了半天,不管三七二十一删了桌面上的 bleh.exe,再看看能不能上网找个防火墙和杀毒软件装上,借助工具来吧,不过当我打开IE访问网络时,刚启动系统的一幕有出现了,网速奇慢,又得把网络断了,不然就可能被遥控了。这时想到打开系统管理工具看看服务有没问题,当打开服务管理时和打开IE一样的说,真把我搞晕了。
现在手头没有filemon,regmon等分析工具,很难发现scvhost.exe,bleh.exe与系统的关联,通过观察发现当我运行IE,还有系统管理工具时,就会有上述的反映,运行任务管理器没问题,查看注册表不会是破坏程序再次执行。由上述可知这些程序和某个系统程序关联了,或者是根本没有在进程里将恶意程序禁止。
技术不过关只能用笨方法,一个个排查了,IE运行就出问题了,当然看看是不是IE出的问题,首先看IE程序是否正常,包括大小,注册表都翻遍了,没发现什么问题啊,再看看系统EXPLORER.EXE,开始不是说了,任务管理器里发现两个EXPLORER.EXE的,经过检查系统目录c:\windows\EXPLORER.EXE没问题,可是在在c:\windows\system32\EXPLORER.EXE的就大大不对了,先删除再说,刚生成的scvhost.exe,bleh.exe,也在这个目录下了,system32的文件超多,删除三个文件一个找麻烦,又都是刚生成的,用右键让文件安时间排列那么最后的几个肯定是他们了,这时候我还好细心啊,ctfmon.exe,和这几个文件跑到一起了,而正常的EXPLORER.EXE可没在一起啊,按理说从时间上来说ctfmon.exe和EXPLORER.EXE是一块的,同时想到“CTF LORDED ERROR”错误提示,想必ctfmon.exe难逃干系了,看看属性ctfmon.exe又九十几K,正常的ctfmon.exe应该是13~15K这个文件肯定大有文章啊,难怪我注册表几乎所有的启动项都删了,就剩c:\windows\system32\ctfmon.exe其他系统文件也没发现问题,重启系统程序又执行了。当然先结束几个进程再四个文件一并删了,再去同学那拷贝一个正常得ctfmon.exe。
这时候再打开IE,系统没有问题了。
扫尾:
安装防火墙,杀毒软件,再全面扫描系统,去除病毒“死尸”,给帐号设置密码,升级系统。
总结:
虽然这个病毒并不是特别难除,不过不细心或病毒执行没有跳出“CTF LORDED ERROR”和DOS运行窗口,可能还以为清理干净了,去除工作就会更麻烦了。现在系统用刚更新病毒库的杀毒软件扫了没问题,端口查看也没问题了,但也不一定就把病毒清理了,要用其他工具仔细分析才可定论,同时scvhost.exe,c:\windows\system32\ctfmon.exe,bleh.exe,popup6011.exe之间又何关联没有细致的分析,我只能确定一点就是IE启动时运行了ctfmon.exe,就生成了并运行了scvhost.exe,bleh.exe。最让我疑惑的是,我联网不过几分钟就中了怎么多的毒,它们是什么方式如此快的就搞定我的系统了?
附:
ctfmon.exe
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程: 否
explorer.exe
进程文件: explorer or explorer.exe
进程名称: 程序管理
描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
常见错误: N/A
是否为系统进程: 是
svchost.exe
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
常见错误: N/A
是否为系统进程: 是
仅供参考
