前几天,同学在QQ上收到一个人传来的文件(见图1),十分欣喜地打开,结果什么都没有,然后就发现自己也在不停地给人传文件,于是找我帮忙清除。其查杀过程一波三折,现成此文,以供大家参阅。
·病毒防治:木马病毒的万能查杀方法·秘籍:教你彻底防杀木马病毒·QQ聊天避开木马病毒攻击的小技巧·木马病毒改头换面传染·stup.exe木马病毒的手动解决办法·关于木马病毒的六种启动方式·网游魔兽世界盗号木马病毒出现变种·七大高手来帮你教把木马病毒杀个片甲不·分析木马病毒客户端与服务端隐蔽通讯·关于防范QQ木马病毒的四则新技巧
1.轻松搞定伪装品
先删除了他接收到的文件,然后用进程查看软件TroyanFindInfo(下载地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系统中所有进程。很快发现了一个很奇怪的进程(见图2),虽然名称是RUNDLL32.EXE,但其他的诸如版本、产品名、说明都和微软的RUNDLL32.EXE不同。
另外,该文件保存在System目录下,而同学的系统是Windows 2000,系统自带的RUNDLL32.EXE应该保存在System32的文件夹中。基于以上的判断,初步断定该进程为木马进程,于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目,找到和刚才删除的RUNDLL32.EXE有关的键值即可。
小提示
★进程查看软件很多,比如以前介绍过的IceSword,本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo,因为它比较小巧,信息也比较全面,实用。当你自己不能判断出进程文件时,还可以点击“Save”(保存)按钮,保存好LOG文件,然后传给高手,让他帮忙分析。
★以前大多数QQ病毒都是通过发送病毒网站地址来传播的,现在也有不少通过QQ直接发送病毒文件,比如,使用图片图标的EXE文件,大家在接收来自好友或陌生人的消息及文件时一定要提高警惕,最好先询问一下对方是否发过该信息或文件,以免无畏中招。
★开机自启动在注册表里的具体位置可以参见本刊2005年第1期的《中毒后遗症,妙手来清除》。
2.清除病毒的“幕后黑手”
本来以为是一个Easy Case,可刚回到家,同学就打来电话说好像木马没清除干净。过去一看,果然又出现了原来的状况。按照刚才介绍的方法先行处理过后,再回想一下整个操作,推断出可能木马把自己的分身隐藏到了系统的某个角落。