在瑞星的掩护下,家里的电脑已经连续用了十个多月没重装系统了,算是破了我用电脑近十年来的记录了,呵呵。逐渐也对瑞星有了些依赖,遇到病毒统统被它发现后查杀,开网页也放心多了。
7月15号打开傲游(Maxthon),自动打开前次看过的几个网页的时候,就弹出OFFICE安装失败的提示,感觉出问题了(有可能是打开的哪个网页被挂了木马),立刻看系统进程,发现了个十分可疑的:down.exe、ok.exe、arps.exe、iexplorer.exe(没开IE)……结束任务后过几秒又冒出来。心知不妙赶紧断开网络,想打开瑞星杀毒(监控一直开着它怎么不报警呢郁闷),一看瑞星已经可怜地打不开了,收拢成红伞再也开不了了。还有,系统时间的年份被改成了2000年,日期没变。
打开msconfig看不出什么问题估计这病毒没放到开机自动运行里,一定会用其他办法启动的,如果注入进了其他正常程序如explorer.exe里那就麻烦了。用IceSword看了下果然explorer.exe里调用了莫名其妙的dll文件,卸掉!
重启进安全模式搜索2000年7月15日的所有文件,找到tmp目录里的ok.exe、arp.exe等等文件和system32目录里的一些陌生的dll文件,统统删除(要连同dllcache里的同名文件一起删掉)。但是还有两个:mndhfdwd.dll和nhmxcjkl.dll特别顽固,删除不了,估计是安全模式下也被调用,郁闷。只好在autoexec.bat里写del命令把这两文件在下次开机的时候删除。
想起前几天刚刚好参加过瑞星公司的培训,说是有些病毒自动关闭瑞星是按照文件名判断瑞星的,按那个人讲的方法进RAV目录去把瑞星程序改名再启动,还是不行,靠!这算什么啊!一气之下把瑞星卸载了。不信靠我自己手工干不掉病毒!实在不行就重装系统。
把不需要的服务统统关闭,用IceSword仔细检查安全模式里的进程调用的模块,然后重启电脑进正常模式,检查系统进程,还好,没出现那些莫名其妙的进程了,只是mndhfdwd.dll和nhmxcjkl.dll没删掉。小心翼翼地打开傲游,麻烦了,那些tmp里的down、ok、iexplorer等等又冒出来了。
看来跟上网有关系,可能IE已被注入,把IE卸载、删除。再来一次安全模式里的那些删除。用IceSword看了下BHO,果然有mndhfdwd.dll和nhmxcjkl.dll被调用。进控制面板的internet选项、程序、管理加载项,把mndhfdwd.dll和nhmxcjkl.dll禁用,重启电脑,再检查就没出现上面那些症状了。唯一的缺陷是删除DLL和卸载系统进程调用模块的时候不小心把瑞星防火墙和卡卡助手给弄坏了,只好全部卸掉了。
现在我的电脑全无防护,只能经常自己手动查看系统进程、检查有无病毒症状,经过将近一周的试用,未发现中毒症状,感觉良好。 | 
站点公告
