裘醫生接診了一位病毒受害者——王方。王方的《傳奇》帳戶被駭客盜走,雖然通過努力取回了帳戶,但還是有很多昂貴的遊戲裝備消失了。因此,他懷疑電腦感染了病毒。在給他的電腦進行檢測的過程中,裘醫生發現電腦IE經常自動彈出網頁。當他觀察任務管理器時,發現有幾個“iexplore.exe”進程和一些陌生進程(如:updaterun.exe)。www.sq120.com推薦文章
這時,裘醫生已經可以確診,王方的電腦感染了死神下載者病毒。這是一個非常狡猾的病毒,會造成很多殺毒軟體及個人防火牆軟體無故退出。該病毒運行後會從駭客指定的網站下載其他的病毒及木馬,下載的這些惡意程式會竊取用戶的網路遊戲帳號、密碼等資訊,給用戶的資訊安全帶來很大威脅。
病毒檔案
死神下載者病毒可以通過郵件、惡意網站等途徑傳播,可以通過IE的漏洞對系統進行入侵。該病毒還可以在盤符下生成autorun.inf和可執行病毒檔,插入閃存就會被感染。由於該病毒採用的隱藏方式比較多,清理起來有些麻煩。
快刀斬病毒
裘醫生自信滿滿地在王方的電腦上打開Process Explorer,首先觀察到幾個明顯的病毒進程(如:117929271962.exe、902.exe、Updat erun.exe等),對它們都可以通過右鍵菜單命令“Properties”查看屬性獲得其路徑(圖1),然後通過右鍵菜單命令“Kill Process”殺除該進程,最後刪除該進程檔。
進行以上操作後,裘醫生發現了幾個可疑的進程,貌似系統進程卻可能是病毒的載體。於是,裘醫生右鍵單擊一個rundll32.exe進程選擇“Properties”命令,果然發現它的Command line為“C:WINDOWSsystem32
undll32.exe C ROGRA~1vxluihve.dll,Service –s”。其實這就是運行了ihve.dll這個病毒程式的結果。
右鍵單擊該進程選擇“kill Process”命令予以殺除,接著進入相應目錄刪除病毒檔。對另一個rundll32.exe進程和rundll2000.exe進程加載的病毒進行類似操作也是必要的。
裘醫生還發現系統啟動了幾個iexplore.exe進程,這些進程在做什麼呢?右鍵單擊其中一個IE進程選擇“Properties”命令,發現它的Command line為“Crogram FilesInternet ExplorerIEXPLORE.EXE“ http://www.zhugui1234.cn/qq/qb.htm”,也就是調用IE連接“ http://www.zhugui1234.cn/qq/qb.htm”這個網址(圖2)以連接病毒下載網站和廣告彈出網頁。 對三個IE進程都進行“Kill Proc ess”命令操作予以殺除就可以了。
病毒隱身照樣殺
以上操作還是不能保證重新啟動後,系統不被隱藏極深的病毒破壞。因此,裘醫生決定對系統做一次深入的“全面體檢”。
裘醫生使用擅長調整修復系統的SREng來分析系統。一打開SREng就彈出警告資訊,顯示為API Hook錯誤(圖3)。API HooK技術是一種用於改變API系統函數執行結果的技術,可以被病毒用來隱藏自身。
裘醫生點擊“修復入口點錯誤”按鈕以查出隱身的病毒。當SREng切換到“啟動專案”選項時,馬上彈出警告資訊,提示註冊表值Userinit被修改。病毒很可能通過該鍵值進行了加載,打開該鍵值發現被修改成了“C:WINDOWSsystem32userinit.exe,c:WINDOWS GGRk.exe”,而正確的應該是“C:WINDOWSsystem32userinit.exe,”修改回來並刪除tGGRk.exe。
通過上面的清除發現病毒檔有些是通過服務加載的。切換到“服務”選項,點擊“Win32服務應用程式”按鈕,在彈出的窗口果然發現了病毒的服務,接著就嘗試刪除所有病毒服務和病毒服務的映像檔。打開超級巡警,在超級巡警的“服務管理”選項,右鍵單擊病毒服務,選擇“刪除服務和映像檔”命令即可。
由於死神下載者病毒下載了木馬病毒來控制感染病毒的電腦。接著就是清除死神帶來的木馬了。選擇超級巡警的“進程管理”選項,檢查Explorer.exe這個系統Shell進程發現了灰鴿子2007的服務端檔G_Server2007.dll,於是右鍵單擊該檔選擇“強制卸載標記模組”命令,然後刪除該檔即可。 |
