返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
手工清除Spyware
2005-04-01 本网 / 山东 王龙
  近期,笔者机器的防火墙软件总是提示“拦截针对本机的震荡波攻击,来自某某地址”。通知机主查杀病毒,普遍反应并没有发现病毒,而且在安全模式下用震荡波专杀工具也无法查到病毒。这到底是怎么回事呢?笔者决定找一台染毒机器一探究竟。

发现病毒
  在查看网卡状态时,笔者发现其发送数据很多,接收数据量为零。由于感染病毒机器的交换机接口已被断开,而且机器并未打开任何使用网络的软件,于是怀疑数据包为病毒所发。
  笔者查看注册表中的HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun,发现“systemstart.exe”=“systemstart.exe”、“Shell Logon”=“C:\logon.exe”两项很可疑,搜寻相关信息后得到systemstart.exe为Backdoor.Akosh程序,属于Spyware。
  至于logon.exe,关于它的病毒信息很多,但都是存在于%SYSTEM%目录下的,存在于C盘根目录的却没有,查看属性发现建立时间与发现病毒状况日期基本一致,于是断定其为病毒程序。

病毒查杀
  笔者在注册表中删除systemstart.exe和Shell Logon项,并在电脑中删除其对应程序。
  根据注册表中的提示,logon.exe在C盘根目录下,而像systemstart.exe这种未添加路径的一般在%SYSTEM%目录下,针对于本机就是C:Windowssystem32,但是在该目录下却找不到文件。这是什么原因呢?笔者在运行中输入cmd,进入命令行模式,分别输入cd (进入根目录),输入cd C:windowssystem32(进入系统目录),再输入attrib -h -s(消除文件的系统、隐藏属性),就看到systemstart.exe文件了,将其删除就可以了。
  另外,笔者还发现“WindowsTaskAd”=“C:\Program Files\Windows TaskAd\WinTaskAd.exe”、“WebSpecials”=“rundll32”C:\Program Files\WebSpecials\ webspec.dll“,run”、“Configuration Loader For Windows”=“msgfix321.exe”等可疑运行项, 查看相关属性后,怀疑其为恶意代码,一并删除(一般可根据程序的属性来判断,笔者主要根据建立时间和图标来判断)。
  重新启动计算机后,系统提示找不到文件logon.exe,怎么回事呢?不是已经删除相关注册表项了吗?笔者仔细查找注册表,发现原来HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionwinlogon中的shell项的值也被修改了,将Explorer.exe后的C:logon.exe删除,重新启动计算机后恢复正常,网卡工作状态也恢复正常。
  最后当然是记得打补丁了,否则机器还会感染上类似病毒的。

本文来自于《网管员世界》2005年第4期 |安全空间|栏目

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读