电脑互动吧

 找回密码
 注册
查看: 6132|回复: 0

一次艰难的杀毒

[复制链接]
发表于 2011-7-22 00:47:20 | 显示全部楼层 |阅读模式
公司同事拿了一台笔记本说是不行了,开机报错,待机时会莫名奇妙就关机了!一看笔记本上两个星期刚到我这里给重新装过系统,起因是系统分区发生逻辑错误。打开机子启动系统,进去就报错说是少dll文件,点了确定还是会弹出来,查看了系统日志也是同样的错误,看看时间也就是最近两天的事,估计是系统被破坏了,就拿了一张XP的安装光盘执行了一次修复安装!XP不同于2000,感觉修复安装同重新安装时间上相差无几!修复过之后,报错倒是没有了,一看电脑没有安装杀毒软件,就下了个金山毒霸给装上了,装完之后想来一次彻底的查杀,弹出一个对话框,说是0Xffff错误不能查杀,执行了一下自动修复,还是不行!从以往的经验来判断肯定是中了病毒!插上自己的U盘,运行一下了WSYSCHECK这个工具,看到了相当多的杀毒软件被镜像劫持了,这也是相当多的病毒常做的事,又查看了下进程也没有可疑的程序!看了几个关键的文件夹下windows目录,system32目录,都没有看到修改日期为当天的文件,就是在C盘根目录下看到了0e073eb7.exe,U盘根目录下有autorun.inf!看了下autorun.inf是调用uninstall.exe,可就是没有发现这个文件!手动修复了一下镜像劫持,把可疑的文件都删了,重启系统之后刚才删的文件又回来了,镜像劫持又发生了!估计是没有找到病毒的源头,试着把autorun.inf删了,看看是什么程序在创建这个文件,后来看到是EXPLORER这个进程,这是个显示桌面的用的,看来是有东西加载这个进程当中去了,果然有好几个OCR为后缀的文件加载进去了!查看了这几个文件的属性,修改日期都是2004年,而不是当天,怪不得刚才没有发现,看来要改变思路不能凭文件的修改日期来判断了!把它们从EXPLORER卸载并删除!看来这个病毒厉害,要仔细查了!在服务加载了一个奇怪的服务c:\windwos\system32\3BAF07D0.sys,一看就是有问题!删除服务及相关文件,再把第一次做工作都做一遍,想这一次应该可以彻底了吧!没想到进去还是老样子,原来的删掉的文件又回来了,症状还是老样子!当时想估计手工查杀搞不定,就在征得同事同意后重装了一下系统!装好系统之后,再装上常用的软件之后,想来一次杀毒,又出现那个0Xffff错误不能查杀,当时就傻了眼!一看症状同刚才一样,看来是其它的盘符上有病毒带进来的的,当时大意了,就大致看了几个文件夹!当时再也不想重装了!想进安全模式一下用金山毒霸查杀,金山毒霸不能查杀倒是可以升级,升到最新版,进安全模式!又是蓝屏,没办法再回来进正常模式下把安全模式修复!进去查杀,杀出一大堆病毒,有的EXE文件是被感染了,就被清除了!有的文件本身就是病毒就被删除了!杀出的毒中居然有回收站的文件,就是uninstall.exe,怪不得重装之后还是会中。当初把D盘、E盘回收站的文件全部删了再重装有可能就不会中了!杀毒还算是顺利,就是一个comres.dll清除失败,估计是安全模式中也用到这个文件!重启用PE光盘进去,把从c:\windows\system32\dllache下的文件comres.dll拷到c:\windows\system32下!重启之后,部分的EXE文件在启动时报错,重装了这一部分的软件!最后用金山毒霸进行的系统的修复!
0 I- h7 a- V. f+ Q, m1 W, U1 g  e+ f9 p6 e/ S$ y% V. `
修复这个系统花了一天时间,最后谈点体会!首先自己要有一个熟悉的工具来判断是不是系统出问题了,笔者一直在用WSYSCHECK,,小的病毒基本都能解决!在碰到比较厉害的病毒时还是要借助杀毒软件,一定要升到的最新病毒库,现在的病毒一进系统就会进入处个文件夹,且都是群体作战在清理过程中漏下一个等于没有清理,即使清理了也会有受感染的文件说不定那天还是会爆发!另外重装系统前最好用杀毒软件查杀一下其它盘符的病毒,不然有可能还是会带来病毒!在中毒的机子用过的U盘,用完好最好查杀一下病毒!我的修复完之后用杀毒软件清理20多个病毒!(转载)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

联系我们|手机版|小黑屋|Archiver|电脑互动吧 ( 浙ICP备13037409号 )

浙公网安备 33032402001025号

GMT+8, 2024-11-13 14:42 , Processed in 0.051491 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表