似水年华 2007-5-26 02:07 PM
手动解决最近流行的“修改系统时间”的病毒
转自 羸政 [color=#0000ff]nkevin[/color]
[quote] 应该算是昨晚吧,接到同学电话,诺顿杀毒报告“内存错误”,机子明显变慢,关机和重启,都是直接蓝屏。
不用想了。。。。。。。100%中毒。。。。
过去一看,开机诺顿就报告内存错误。因为以前装过sre,所以直接找来运行,居然提示“过期。。。。。。”,这才让我想到,"时间",打开系统时间一看,郁闷。。。。。。。。。2099年1月1日,时间是正确的。唉。。。。。。。这几天一直在嬴政看到帖子,自己还是第一次真正遇到这个病毒。试试再说了。不想直接还原ghost~
诺顿报错,不用理会,直接在win下调时间,只要不重启,时间就能调回来,其实,我调整时间,就是想用sre。调正常后,sre也ok了。直接作报告。
在sre里面,查看启动项,软件直接报告:userinit.exe错误。这个不用想了,肯定加载了病毒文件,但很奇怪,启动项里面没有显示出来。除了普通启动项目,只要一个超级醒目的东西——MPG4C32.exe,不用说了,大家都知道这是啥了。。。。。
看了看报告,没发现什么异常,刚才上面哪个文件,肯定是包含在内的。其他的,一点迹象都没有~晕死了。。。没办法,只能用自己的眼睛了。。。。打开“隐藏的系统文件”。。。。。等等那些,打开windows文件夹,最先看到的:begin.bat…………(这个病毒做的也太没水平了。。。。。。。),打开文件(当然,是编辑,不能双击啊)。
从中看到了几个病毒建立的文件:
system32下: sft.exe,ftp.exe(这个干扰很大,我看了都有点傻眼),[url=ftp://ftp.dat/][color=#0000ff]ftp.dat[/color][/url]
win下: [url=ftp://ftp.exe/][color=#0000ff]ftp.exe[/color][/url] ,1.exe, mosge.exe
system32\dllcache下:sft.exe,[url=ftp://ftp.dat/][color=#0000ff]ftp.dat[/color][/url]
包括上面那个mpg4c32.exe就这几个了。老规矩,照着清理了,首先进入安全模式。。。。。。。郁闷,都删除不了,无语了。用unlocker看过了这下文件,都没有“被任何文件锁定”,疯狂无语。。。。。无奈了,DOS~~~
一个一个来了。。。。因为大部分都是隐藏+系统+只读,所以, 我都是先attrib 文件名,然后去掉属性,最后再del
删了上面这些,觉得差不多了,重启电脑了。结果,重启后时间还是不对,开机还是出现“Iexplorer.exe",不用想的,这些只是病毒文件的”附属“,真正的还在。继续努力了。
还是得在windows,system32, dllcache,temp,这4个文件夹里面看了。。。。果真,刚才第一次看的时候,我忽略了一个”系统文件“…………Winlogon.exe。。。。。。。。系统+隐藏???不用想了,就是你了!因为它和系统真正的那个文件名相同,所以,即便在安全模式下面,也不能删除,唉,DOS………………………………
再次进入dos,去掉该文件的系统+隐藏属性,删除后,觉得差不多了。再重启一次试试吧。。。嘿嘿~看到胜利的曙光拉,系统时间正常拉,开机诺顿不报错了,进程也正常了。(我在杀毒过程中,每次重启,都直接第一时间打开任务管理器,来看着进程),应该是没事了。。。。。。。。保险起见,再看看那4个文件夹吧。。。多花了点时间,逐个查看里面的exe文件,发现彻底没事了。再次重启,系统时间不变了,其他也都正常了。到此为止,清理完毕~
这次杀毒过程就是这样了,也许在高手眼里,没什么技术含量,确实,我这几天也只是在嬴政看到许多人求助这个问题,以为这个病毒多厉害,今天遇到,也没什么。清理方法,其实还是和普通木马一样的。相比其他病毒,这个病毒的关键在于,因为修改了系统时间,导致类似SRE的许多辅助软件,杀毒软件都过期。所以看似很难解决,其实,”冒着中毒“修改正常一次,只需要一次就行!再有,我觉得这次杀毒的难点,还是在于”查找病毒(主,附属)文件。因为涉及太多,没有点电脑基础,还真不能及时,正确的判断出来。刚才,我就是被windows下那个假的“winlogon.exe”晃点了。。。所以,建议大家,如果你没有十足的把握,还是先备份出电脑里面的数据,以防删错真系统文件,导致彻底瘫痪。
行了,就写这么多了。之所以写了这么多,只是想告诉一些新手,这个病毒并不可怕,它没有多么高深的“新技术”,依旧还是走的“老一套”,大家应该把它看作普通的木马病毒对待。只要认真找出病毒相关文件,就能搞定了。
[/quote]
似水年华 2007-5-26 02:09 PM
在DOS下面“杀毒”,无非就用到3个命令:atttib(修改文件的属性,去掉只读,隐藏,存档),dir显示文件名,del删除文件。其实都很简单的,网上的教程也有很多。不会dos的可以学学
pe也可以搞定,我推荐大家在没中毒的情况下,就安装:PE工具箱,如果以后电脑有问题,可以直接进入其PE系统,删除文件。
以我上面写的MPG4C32.exe为例。进入dos后,步骤如下
c:
cd windows\system32
dir mpg4c32.exe
如果出来了,就能直接del mpg4c32.exe,如果显示“file not found",则有两种可能性:
1。文件确实不存在
2。有系统或隐藏的属性,这就需要用到 attrib命令了。如下
attrib mpg4c32.exe
我这个例子中,显示结果如下
a h c:\windows\system32\mpg4c32.exe
所以,就需要先去掉其a(存档),h(隐藏)属性,再删除:
attrib -a -h mpg4c32.exe(去掉属性)
del mpg4c32.exe(删除文件)
有需要的朋友建议去学一下dos,就3个命令,杀毒时候会用到,几分钟,就能学会的。
crist 2007-6-3 01:40 PM
pe好啊,不过还是用光盘的好点。楼主说的这个毒确实不是什么了不起的东西,不过像我这样的懒人可没办法杀……yct03
所以很佩服!!yct09