经过一系列艰苦卓绝的斗争,

我终于把木马给清除了!

这几天电脑到处都不正常,Windows Update的Automatic Update 服务打不开,上网经常被中断,Explorer常常莫名其妙死掉。
想起来,我曾经在小红伞报毒的情况下毫无顾忌地打开了一个看起来很诡异的可执行文件。大概是因为这个原因….

在小红伞、Dr.Web等杀毒软件的扫描下什么都没有发现,但是病毒却总是在启动项里留下蛛丝马迹,我删掉过很多次rundll32的启动项,不过用Icesword冰刃清除几次以后好像还是没有清除干净。

今天突发奇想尝试了一下微软自家的杀毒Windows Live OneCare,却不料收到了奇效。

不愧是微软自己的东西,在网站上就可以联机检测。手一抖选成了Full Service Scan,于是从晚上一直扫描到一点半,奇迹般地发现了木马:Win32/Vundo.gen!P

我耐心的等待最终还是收到了回报,首先是检测到一个pid 3988的可疑进程,其实就是explorer.exe,看样子是被感染了。然后注册表里多个ID为{3E5829C4-D18F-4E89-B8B2-33E7BEF093D2}的注册表项都有问题,而这个ClassID对应着的正是system32文件夹下的 mlJDsQKA.dll 病毒文件。

而且病毒文件还不止这一个,还有xartlamd.dll ycadwsyx.dll fccbxpnk.dll 三个备份。

不过OneCare状态显示的都是无法清除,只能靠手动了。

首先结束掉explorer.exe进程,就可以删掉那些文件和注册表项了。然而木马似乎还在运行(虽然我不知道在哪儿),mljdsqka.dll和注册表项总是很快就被木马恢复过来。

于是Icesword出马,不管三七二十一把病毒的主程序 mlJDsQKA.dll 给强制删除了,发现不再会恢复,于是重启,删掉残留的注册表项,发现一切终于恢复正常了,Automatic Update 终于启动了。

看样子这个木马是利用BHO(Browser Help Objects 浏览器辅助对象)把自己加进explorer或者iexplorer的,以后一定要注意。

不过我百思不得其解的是,这样的病毒为什么小红伞都没发现呢?

发表评论