davidyu720 | 12 五月, 2008 12:49
昨天冒险上网寻找文件下载,结果碰到病毒了!虽然在第一时间kill了可疑进程,但IE会弹出广告页面,用HijackThis检查发现有个pctools.dll的BHO。
首先用改名法,删除了pctools.dll文件,但用HijackThis无法删除注册项。
怀疑是有driver保护,就去寻找可疑driver。注册表中的driver太多,就到system32\drivers目录中寻找修改时间最近的文件,结果找到了acpidisk和NetBI0(是零不是大写字母O)S这两个驱动。
删除驱动后,重启计算机,发现有RunDll32提示找不到某个DLL,于是到system32目录中寻找修改时间最近的文件,删除了可疑的文件。再检查IE BHO,发现还是无法删除BHO设置项。
于是手工到注册表中搜索pctools.dll项,删除时提示无法删除!一番折腾后,找到原因:原来是病毒制造者设置了拒绝的权限!对症下药,很快就删除了BHO相关的注册项。
最后剩下rundll32的问题了。在RUN启动项中没有找到,只好搜索注册表,发现了隐藏在policies\Explorer\Run中的两个入口3eab.dll和dc1.dll,处理之。
病毒凶猛!我是个IT人士,懂得一些计算机的基础知识,没有造成太大的影响,但一番折腾就浪费了我2个小时的时间!。如果是不懂计算机的普通用户呢?
想想还是下载了传说中的360卫士,发现很好用!这个工具还发现了以前我手工对付病毒所留下的文件和注册表痕迹。看来以后的安防工作就靠它了:)
| « | 八月 2008 | » | ||||
|---|---|---|---|---|---|---|
| 一 | 二 | 三 | 四 | 五 | 六 | 日 |
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |