返回信息流前两天上一个网站,然后中了毒。手动删了启动项和exe文件,发现还有残留,表现是:
1、QQ可以登录,但是无法打开任何对话框。
2、会有对话框:
---------------------------
IEXPLORE.exe
---------------------------
Windows 找不到文件 'IEXPLORE.exe'。请确定文件名是否正确后,再试一次。要搜索文件,请单击「开始」按钮,然后单击“搜索”。
---------------------------
如果关了这个窗口,会再弹出,保证总有两个对话框。
3、开机很慢,桌面图标要好久才能出来。1分钟多吧。
4、所有到google相关网站的链接都被改成baidu的。。我的host表有100多行,faint阿,还无法修改host文件。
5、首页不能修改。
如果说上面的情况我还可以容忍,那么下面的事情就太BT了。。
我企图用黄山修复IE,结果一运行黄山,就自动关机!重开机发现黄山被卸载!
我企图进安全模式改host表,发现进不去安全模式!就是可以进入到选择正常启动,还是安全模式,还是带命令行的安全模式。。。。。这个界面,但是选择安全模式之后,说无法启动。
进程一切正常,除了两个 rundll32.exe。
有没有达人知道这个是啥毒?有专杀没?
这是一条镜像帖。来源:北邮人论坛 / security / #7403同步于 2007/1/11
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
BT的毒, 现在进不了安全模式。。。。。求助
Hermione
2007/1/11镜像同步4 回复
订阅后,新回复会通过你的通知中心匿名送达。
4 条回复
区分出系统必要进程,正常进程,可疑进程,
通过可疑进程找到相关文件的路径,相关文件的名称
关掉所有非系统必要进程
查找所有的启动项,把不可信的全删掉
删除上面可疑进程的相关文件
用IS再检测一遍
重启
【 在 Hermione (赫敏) 的大作中提到: 】
: 前两天上一个网站,然后中了毒。手动删了启动项和exe文件,发现还有残留,表现是:
: 1、QQ可以登录,但是无法打开任何对话框。
: 2、会有对话框:
: ...................
目前进展,C盘恢复过了,正常
结果在我启动了一些程序之后(包括QQ,IE、TT,gtalk,msn....),再次成为那样。
确定了不仅在C盘有病毒程序。
这个木马BT之处是,我所有的工具,包括360安全卫士、黄山IE、FileMon、木马杀客……对它都无可奈何。统统是 只要运行,就自动关机,重新开机以后,这些软件被删除。
没有异常的自启动服务
没有异常的自启动项
进程相关的程序文件也都是原始的,没有改动。
锁定我host文件的是Explorer.exe。 是原始的,没问题。
这时我就想到病毒可能是dll方式加载到Explorer.exe 的。
可是我不知道怎么看它加载了哪些dll。
所以就在D盘搜索我最近一次记得系统正常的日期开始,所有新创建的dll。
果然在QQ的文件夹里找到了一个。
紧接着我又在QQ文件夹下查找,发现了一个和该DLL同时创建的dat文件
取消dll的注册。然后删了这俩文件。
(汗我马上删除了这俩,把名字忘记了,大概都是叫做QQ***.dll 这样子的。)
目前一切正常了。
顺便问问,怎么察看程序加载了哪些dll?