系统 WINXP SP2 补丁打到大约5天前.
防护软件: RAV RFW 卡卡, 全部监控开启.正版,更新到当天.
初次发作是3天前,原因不明的情况下发现机器运行速度变慢,网络有堵塞现象,用NETSTAT -A查看发现一堆奇怪的连接,其中包含 www.hao123.com:http .以及其他若干IP.
用RISING杀毒,杀出几个木马和下载器. 杀完后提示有木马需要重新启动后删除,重新启动.
重新启动后发现IEP的进程不见了,运行卡卡,发现卡卡的执行文件消失.
执行卡卡安装程序,机器自动重新启动.
F8进入安全模式,机器自动重新启动.
只好正常启动WINDOWS,开机扫描,提示无病毒发现.
登陆界面在登陆WINDOWS之前使用RAV杀毒,发现扫描内存时仅跳过4个文件,怀疑RAV被感染.在扫描完C盘没提示发现病毒的情况下,终止杀毒,登陆WINDOWS.
查看注册表里RUN相关项目发现有个将RAV指向TEMP文件夹的键值(可惜没记录下具体的)
试图重新安装RAV,卸载原来的,安装,安装前内存检测又只扫描了4个文件.
安装后仍无法扫描出病毒.
因反复感染,机器半停止响应状态,备份部分C盘关键文件和证书后,格式化了C盘,重新安装了WINDOWS系统(那张系统盘用了相当长时间,可以确认是干净的).
安装过程中没有进入其他盘,使用了RISING的光盘安装了RAV RFW和卡卡,然后在线升级.
升级完成后使用漏洞检测打上了WINDOWS所有补丁.
用RAV再次全盘扫描,清理出若干木马,重新启动后一切正常,再次扫描无病毒.
关机睡觉.
第2天安装了驱动程序,然后正常使用.
第3天,就是今天,发现IEP在进程栏里又不见了,运行卡卡,找不到卡卡.
安装卡卡时自动重启,RAV扫描时在内存里仅扫描了4个文件就跳过,然后还是找不到病毒.
关机,用朋友的机器上网求助(电话打不通)
遗憾的是没有什么可以贴出来的日志(重装系统全没了)
希望有高手可以指点.
对了,在RISING网站下载卡卡时地址被转到BAIDU
进入GOOGLE时也被转入BAIDU
