先从任务管理器中结束可疑进程,再相应卸载恶意程序
昨天浏览个网页,感觉很不爽,一开就弹出个帮忙的页面,估计中毒了,后来瑞星证实了我的想法,然后去杀毒,真的杀了几个出来,那个木马估计是大家现在用的那个chm木马生成的,而且那人应该用的鸽子或者黑洞,感觉杀了后还是不太保险(不是我不信任瑞星,现实如此),然后就去下个瑞星防火墙用下,用那个可以查看什么程序往外连接,下了两个,安装了一个,不小心顺便点了下另一个,噩梦开始,一开始没什么,后来我一开网页就弹出讨厌的小窗口,就是那个垃圾站什么私服的~
痛苦而漫长的删除那个恶意程序的经历开始了,原先以为用瑞星应该可以搞得定那个的,可以杀来杀去就是杀不出,郁闷拉~
用msconfig看下,rundll32.exe d:/windows/down~1/_IS_ISC.DLL,把勾去掉,不让他随启动运行,以为这样可以了,我又去注册表下HKLM/software/microsoft/windows/currentversion/run看了下,晕哦,怎么又在了~,我再删,同时把注册表禁用了,再看,还在,没办法,只有自己手动去找调用那个dll的程序了,突然防火墙弹出explorer.exe试图连接外面,奇怪,那个不是桌面么~再看下面,里面就含有上面的那个dll,难道是explorer.exe调用这个玩意,进dos,输入tasklist /m > d:/1.txt,去d盘下面找到1.txt打开,查找那个dll,果然那个调用了,还有个dllhost.exe,rundll32.exe也调用了那玩意,不是中毒了吧,那怎么查杀不了呢~,进d盘下看看,找到那几个文件,没被修改过的痕迹,又从朋友那copy了那几个文件,覆盖原来的,没用,怎么办呢?我又想起来那个dll前还有个路径的,就在那个d:/windows/down~1里面,在地址栏输入d:/windows/down~1地址变成D:/WINDOWS/Downloaded Program Files,里面就一个文件,并没有那些dll文件,见鬼拉,跑dos下看看去,dir下,什么都看到了.我关了调用那个dll的几个进程,再echo Y|del _IS_ISC.dll,好,删除了,再去run下把那个程序删了,恩,现在可以了。继续上网。。。
直到今天早上,我开机,突然,防火墙提示explorer试图连接外面,我无语,昨天白搞了那么久,再找原因,看那个_IS_ISC.dll路径怎么又跑成了d:/windows/down~1/mgr(具体文件名忘了)/_IS_ISC.dll,昨天明明不是这个路径的,我进dos,cd转换路径,再dir,找到那文件夹,看了下里面的东西,晕,好多不同的dll还有ini,直接del,怎么都在被另个程序占用无法删除,没办法了。关进程吧,照上面的方法,tasklist /m > d:/2.txt,然后在2.txt里寻找那个文件夹里的dll,找到对应调用dll的进程一个个地关吧~.关了后,把down~1下面所有可疑的文件全部删了,echo y|del *.ini,*.exe 和*.dll。里面其他的东西是正常的,不可以删的。然后又想起来 小火柴说过在注册表里把那个相关的dll都删了的,为了保险,去注册表,查找那dll,删。 感觉现在应该好了。
现在已经是下午了,机器重开了有3次了,那个可恶的explorer没再试图往外连接了,防火墙没再任何提示,应该到此为止了吧!叹气拉。。。