今天我介绍下我与不是病毒的病毒斗争的事迹。
首先起因是同学的U盘坏了,于是我就自然想到一个叫U盘修复的工具(修复U盘不只重点)。由于涉及磁盘操作,我就用管理员帐号运行(用Runas命令就可以了,不用注销当前用户)修复工具。结果不行,就上网找。找了很多个都和我现在用的这个一样,继续找,终于找到了另一个不同的所谓修复工具(就是这次的主角,灯光这边啊~~),名字叫什么我忘记了。一是由于比较小没有用falshGet下载,自然就没留下名字,二来当时有点冲动就首先把那文件删了。虽然还是可以找它的名字出来,不过似乎没必要我就没查了。下载完后自然就是运行了,其他工具都是直接运行的,惟独这个要安装!(作为长期从事电脑游戏的人都知道这个有问题啦~~)于是我就没用管理员帐号运行,而是直接用当前帐号(一般的User帐号)运行。运行之后,突然发现机器卡了一会,然后就出现一个出错的信息提示(大家记住啊,这个提示不妨记作A啦~),好象是说什么Service之类的失败了。这时我敢肯定,出事啦~~~~
然后是我的处理方法,具有一般性,希望大家可以借鉴下(有空学黄婆卖下瓜先~~)。打开进程管理器(Ctrl+Alt+Del),发现里面多了几个进程。一般看进程的话,主要是先看进程名,不过我的习惯是先看用户名,因为一般都是当前用户触发病毒程序运行的。
首先一个发现是一个叫newweb1248.exe的程序,以多年和病毒作斗争的经验我可以肯定那就是病毒的一个身体(一般病毒还会有其他替身的)。我马上起用SysJudger.exe(进程执法官),使用进程黑名单把它杀死。注意了,由于这个进程在进程管理器里的位置变得很快,杀起来不方便,所以我就用SysJudger来杀,不过只要你看清楚了它的PID用TaskKill来杀也是可以的,不过我是这个懒人,不想用键盘。
然后我又有了第二个发现。那就是一个rundll32.exe的东西,关于rundll32的介绍我就说浅显点,那就是run a dll as a app(一个动态连接库作为一个程序运行),其中更深入的了解请请教高手吧。既然发现了目标,又该怎么样处理呢?不管那么多了,把它结束了再说。
之后就是第三个发现了。我想应该没什么事了吧,于是就上网继续水了。但发现速度慢,而且explorer.exe(注意区分IEXPLORE.EXE)的CPU使用率很高,肯定又有问题了。我要分析下explorer.exe才行,用到的工具还是SysJudger。使用进程模块,很容易就发现目标了,那就是stdup.dll(在C:/windows/system32下),当然首先直接删是不可能的。要删着个文件可以先用regsvr32 C:/windows/system32/stdup.dll /u命令将它从内存中搬出来。但事实上我这样做却没有成功,其他方法还有(就是改名,重起,删除),不过要重起,我就没那么做了。那该怎么办呢?我选择了上网找资料。由于有了stdup.dll这个文件名,要找它的资料就再简单不过了。我baidu了一下,马上就有它的资料介绍了。呵呵,原来它是个通缉犯,而且和stdsvr.dll勾结(进一不发现还是MMSAssist通奸),在c:/windows/system32/stdcache/下有个窝。既然知道它的方位了,那我们就要开始行动消灭这些恐怖分子啦。Go,Go,Go!Follow me!
解决方法。首先是stdup.dll,一开始即使用regsvr32的办法也删不了,后来看资料之后发现原来可以用C:/WINDOWS/system32/rundll32.exe C:/WINDOWS/SYSTEM32/stdup.dll,Uninstall就可以了(看来这个东西做得还算专业,不忘搞个卸载函数)。其次是stdsvr和c:/windows/system32/stdcache/,这两个直接删就可以了。然后就可以收工啦~~~~~~~慢!好象还有奸夫MMSAssist没有处理哦。方法也很简单在添加删除程序里就有它的影子啦~之后的不用我教了吧
好了,最后总结下。首先我们应该养成良好习惯,平时用一般的user帐号登陆使用就可以了。这就是为什么很多人都说装什么杀毒软件而我什么都没装的主要原因了(再卖一次瓜,另一个原因就是我自信啊~~~)。其中还记得提示A吗?其实那是病毒在安装服务,但需要管理员权限才可以,所以就失败了,这步很关键,因为如果服务安装了,而你又没有清除干净,那就麻烦了,病毒其中的一个症状就是不时弹出IE窗口。其次就是要善于利用网络信息。这步很关键,因为病毒在到你的电脑之前肯定被其他网络安全部门通缉了的,你只要上网查下就可以找到它的资料,还有相应的解决方法。然后就是要有好的工具。所谓巧妇难为无米之炊,没个好的工具是不行的,即使你再高手,也要有,否则效率就很低了。最后记得在注册表里将{6A512BF7-EC78-4E8D-9841-6C02E8FA9838}的所有信息删了。
总结完之后,我再谈下我的感受。其实这个只是一些简单的插件之类的病毒,危害不大,却挺烦人的。对付这些病毒,只要随便找个Windows优化大师或者魔法兔子之类的软件就可以应付了,不过如果中了招,最好还是按照网上专家的方法去做另外我在计算机楼发现有winfile的病毒,有兴趣的同学可以去研究下。关于系统安全,如果你的机器上没什么值得你为它伤心的话,可以随便装个杀毒软件(随便什么牌子啦)和防火墙(一般用系统自带的就足够了)。如果有重要的东西,请你不要放在C盘下,最好就是用U盘或者移动硬盘备份,没有的可以用网络空间(FTP,E-mail,Blog等)进行备份。如果实在用不了,就来个format重装算了,除非你是抱着研究的心态。我的这些话很多都是对MM说的,因为她们的电脑确实也就是这样的用法。暂时就写那么多先,都4点多了,我还没洗澡啊~~~明天都不知道几点才可以醒了。