今天ie不知道怎么搞的出现了好几次意外错误关闭,觉得有点不对,而且今天0点的装新浪UC的时候卡吧报告了一个病毒文件(名字忘记了)在d:\windows\system32\drivers里,但是杀的时候却提示没找到,用卡吧扫了一下没发现什么问题,不过我还是觉得不放心。
用兔子清理的时候,发现在d:\windows\temp\zt2和D:\Documents and Settings\Administrator\Local Settings\temp\zt2中都有svchost.exe的文件,删除后,在兔子的进程管理里,发现一个d:\windows\winlogon.exe的可疑进程。但是打开资源管理器却根本找不到这个文件,进入dosshell,发现d:\windows目录下有winlogon.exe,winlogon.dll,winlog
onkey.dll,winlog
onkeylog.log几个文件,exe,dll文件都是隐藏系统的,用兔子结束进程后,取消几个文件的隐藏系统属性,仍无法删除,但在兔子的进程管理里已经看不到了winlogon.exe进程了,winlog
onkey.dll嵌入到系统和应用程序进程中。
在注册表里,发现如下内容:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wireless Zero Eonfigwration]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=D:\windows\winlogon.exe
"DisplayName"="WZE"
"
ObjectName"="LocalSystem"
"Description"="提供有线网络服务."
这个是隐藏服务,在服务项里是看不到的。
观察winlogon.exe的文件日期是2006.12.27 00:16,而新浪UC安装完的时间是2006.12.27 00:17,而当时我并未上其他不名网站。联系到安装UC时卡吧出现的提示,感觉其中有点蹊跷。
下载了一个ewido3.50,扫描了一下,倒是扫出一些以前卡吧和瑞星没找到的spyware.cookie什么的,也没能发现问题,烤,看来版本太低,下载个最新的avg anti-spyware7.5并且升级到最新版本试试,也没发现,看来只能靠自己了。
先删除注册表项目,重起进入安全模式,删除4个文件,重起后木马也就删除了,看来这个木马并不难杀,只是咔吧和avg竟然都不能查到,让人失望。
为了验证UC和木马的关系,重新运行UC程序,这时咔吧提示发现2006-12-27 5:50:48 文件 D:\windows\system32\Drivers\CelInDriver.sys: 未清除, 拒绝写操作,而avg提示发现c:\dup5.exe感染backdoor.hupigon.lq,但是检查windows目录,winlongon几个文件又出现了。用兔子看进程,倒!4个可疑的iexplore进程一个dup1.exe进程一个危险的svchost.exe进程。结束进程后,重新杀吧。
妈的,我的UC是在新浪官网里的官方网通连接上下载的,竟然带了这么多木马,不知道是新浪自己搞的还是有人恶意破坏的。搞完了一看,都快7点了三。
大家一定要小心,这几天不要去下UC,而且最近装UC的一定要检查下系统。
防不胜防啊,看来我以前太自信了,从不装杀毒软件和防火墙,有问题就手工杀,要不是最近总有别人用我的机器,我还不装那咔吧死机呢,搞的系统慢死了,但是无论是杀毒软件还是杀木马软件都不是万能的,要经常检查检查系统才行。
