本文原创作者为:lg560852
来自:动物家园计算机咨询中心
1、 今早一时心血来潮,去老早前的一个论坛看看不想鼠标一下子忙,偶就感觉不妙!开进程管理器,果然,2个未知进程出现!杀之,为时已晚。毒中上了。EXPLORER自动关闭,结束浏览器,结果什么也打不开了,只能用快捷键调出进程管理器,而且用进程管理器运行啥都不行(同时管理器也被关闭),用进程管理器查看关键文件夹内容,将几个新建的文件c:\windows\cguu4.exe等等的移动到其他文件夹内,尽量减少损失。
2、无奈进入安全模式,还好,没破坏。但是结果一样,光秃秃的一个桌面,进程管理器能调出,但是连CMD啥的也打不开,执行命令也无效。突然发现个问题:EXPLORER被替换了,而且有个pinyinup.exe进程占CPU100%,结束。又在SYSTEM32文件夹下看了看,发现还有个EXPLORER.EXE,属性里带签名的,看来这个是正品了!移动其到windows文件夹下,用任务管理器打开仍然失败。倒是那个pinyinup.exe又出现了(后来考虑,这个不是搜狗的问题就是被病毒利用了)!
3、这个倒是奇怪的很,不过一个念头涌现出来:我将explorer更名为pinyinup.exe放到搜狗的那个文件夹下,将pinyinup.exe更名,稍微一等,呵呵,资源管理器就出来了!但是还是不能打开任何东西(一开就结束),只能浏览文件。所以我就把wsyscheck更名放进来,过了一会也成功自动执行了。wsyscheck的功能在安全模式下受限,而且为了留下纪念,偶就把sreng更名移动了过来,执行后,扫描一份日志【见2楼】,这下偶就可以安心的清理病毒了。
删除了这三个
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{7C8D1401-A58D-A81C-CD24-A5915C4517C7}> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}> []
<{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}> []
删除了浏览器加载项
[]
{7C8D1401-A58D-A81C-CD24-A5915C4517C7}
搞定重启,许久不见的EXPLORER终于回来了o(∩_∩)o...
进入系统后,按修改时间看了看几个关键文件夹下的文件,囧了,C盘下有个tmp.dat
内容是:
[oo]
c0=http://121.14.154.193/1.exe
c1=http://121.14.154.193/2.exe
c2=http://121.14.154.193/3.exe
c3=http://121.14.154.193/4.exe
c4=http://121.14.154.193/5.exe
c5=http://121.14.154.193/6.exe
c6=http://121.14.154.193/7.exe
c7=http://121.14.154.193/8.exe
c8=http://121.14.154.193/9.exe
c9=http://121.14.154.193/10.exe
c10=http://121.14.154.193/11.exe
c11=http://121.14.154.193/12.exe
c12=http://121.14.154.193/13.exe
c13=http://121.14.154.193/14.exe
c14=http://121.14.154.193/15.exe
c15=http://121.14.154.193/16.exe
c16=http://121.14.154.193/17.exe
c17=http://121.14.154.193/18.exe
c18=http://121.14.154.193/19.exe
c19=http://121.14.154.193/20.exe
c20=http://121.14.154.194/21.exe
c21=http://121.14.154.194/22.exe
c22=http://121.14.154.194/23.exe
c23=http://121.14.154.194/24.exe
c24=http://121.14.154.194/25.exe
c25=http://121.14.154.194/26.exe
c26=http://121.14.154.194/27.exe
c27=http://121.14.154.194/28.exe
c28=http://121.14.154.194/29.exe
c29=http://121.14.154.194/30.exe
c30=http://121.14.154.194/31.exe
c31=http://121.14.154.194/32.exe
c32=http://121.14.154.194/33.exe
c33=http://121.14.154.194/34.exe
c34=http://121.14.154.194/35.exe
c35=http://121.14.154.194/36.exe
c36=http://121.14.154.194/37.exe
c37=http://121.14.154.194/38.exe
c38=http://121.14.154.194/39.exe
c39=http://121.14.154.194/40.exe
c40=http://121.14.154.194/41.exe
4、看了看偶的临时文件夹,只DOWN了5个,还算好。再用WINDOWS清理助手扫描下,清理了些病毒残留项,至此,整个过程告一段落。呃,这次问题的出现是由于偶没装杀软(组策略也坏了)而且上了很可能有问题的网站(那个BBS以前被挂过马,而且现在鲜有人去),处理过程很简单,就是有点曲折。语文不好,希望大家不要嫌文章无味,仅作参考。
病毒样本偶都留下了,没处理掉,发到样本区去,看看有无达人玩玩。
最后囧一个,为何偶碰上的病毒都是DOWNLOADER?