俗话说,人在江湖漂,哪能不挨刀,常在河边走,哪有不湿鞋。
兄弟我昨天就把自己的系统差点玩挂。
话说事情的起因是我在找一个漏洞的扫描溢出工具,然后在一个不知名的站点下载了可执行文件。玩这个的时候我都是把杀毒软件关掉的,我直接双击运行后发现没啥反应。在下载另外一个的时候,意外发现在F盘的根目录下多了一个1.exe和autorun.inf的文件,然后再看其他盘也是这样。然后我重启电脑,进入安全模式,手工把他们删掉,并且把进程中几个明显的进程关闭了,以及停用了异常服务和在注册表中把自启动项目给停掉了。接着在分别在几个分区搜索刚更改的几个文件,发现已经有几个exe的文件被修改了,而且在system32和windows目录中多了十几个dll的文件,我删除了他们。我个人估计这是一个usb autorun和威金的一个联合变种。我以为搞定的时候,再次重启电脑,发现nod32不能用了。再看各个分区,依然有可执行文件,看来刚才清理的不够彻底。再次重启到安全模式,进行查杀。就没再弄。
今天上午开了电脑在安全模式下,用nod32进行扫描,发现速度特别慢。又换了几个威金专杀效果都不明显。这个时候我和张就开始用autorun来检查进程和启动项。意外发现系统中有两个explorer进程,并且有一个是在c:\windows\system32\temp文件夹下,文件大小为3.2M,另外一个在windows目录下的文件大小为800多k,并且占用了很高的cpu利用率。将这个文件跟其他人的系统中的文件对比发现大小都不一致。这个时候我们就把这两个文件删除掉,并从其他人的电脑中复制了explorer.exe文件,再删除掉其他分区的1.exe和autorun.inf文件,重启电脑,基本恢复正常。
通过这次教训,告诉我们,以后还是要小心啊,别玩人不成反被耍。
还有就是在删除的时候要多注意进程中的细节内容。
本文还暂无回复