|
|
| |
|
|
江民杀毒软件病毒防御征文:徒手和病毒格斗
|
|
www.jiangmin.com 2005-12-9 11:23:36 信息出自: 江民科技
|
|
| |
|
记的有一次,晚上打开电脑上网聊天,一位朋友机器中毒根深,QQ给我发来一个 什么女孩艺术献身.EXE文件.
抱着好奇的心里,先用杀毒软件扫描了一下,没法现病毒,双击打开,程序报运行错.QQ死机.
问题来了,任务栏的杀毒软件图标消失了,在任务管理器中多了几个线程:csrss32.exe,winc1.exe,winc.exe,winmem.exe,
smss.exe(两个),server.exe(两个),服务项多了一个MSSearch
注册表启动项多了:advapi32 RUNDLL32 C:\WINNT\Downlo~1\_IS_ISC.dll,isc.
顿时紧张起来,不知道如何下手了,电脑里还有我的重要东西呢~~咋办?我开始忙着查找书籍,网上找解决技巧!!终于自己摸索出一套战斗方案来~~中间屡次失败啊!!
我还是马上进入杀毒程序:
1)中止以上线程,包括RUNDLL32, (两个),并搜索相应exe文件删除;
2)禁止MSSearch服务;
3)删除注册表启动项:advapi32 RUNDLL32 C:\WINNT\Downlo~1\_IS_ISC.dll,isc.
4)重新激活杀毒软件杀毒,都找到以上几个exe文件,清除.Temporary Internet Files 下一大堆文件都感染上了,赶快清历史缓存,Cookies;
5)重启机器,一切正常,就注册表启动项:advapi32 RUNDLL32:\WINNT\Downlo~1\_IS_ISC.dll,isc又存在,删了刷新,又来.看来还没找到根源.
6)使用Msconfig,诊断启动,注册表启动项:advapi32 UNDLL32:\WINNT\Downlo~1\_IS_ISC.dll,isc依然存在(禁止不掉).
看来根源在C:\WINNT\Downloaded Program Files;
7)打开C:\WINNT\Downloaded Program Files,没有_IS_ISC.dll类的文件.(动态生成,还是隐藏.我已经开启显示所有文件,并禁止隐藏系统保
护文件了,汗!)
8)搜索c盘所有_IS*文件,发现C:\WINNT\Backup下有一窝_IS*,删除,不到2秒又重生.(佩服之情悠然产生,写了这么多年程序,还没见过这么高
效的触发机制).
9)重启,进入安全命令模式,进入dir _IS*/s, 终于发现了C:\WINNT\Downloaded Program Files下也有一窝_IS*;
马上删除, 进入C:\WINNT\Downloaded Program Files下删除_IS*, 进入C:\WINNT\Backup下, 删除_IS*.
10)正常重启,删除注册表启动项:advapi32 UNDLL32:\WINNT\Downlo~1\_IS_ISC.dll,isc,不再重生.(应该成功了吧?)
晚上什么也没干~~光和病毒作战了~~~累死了,但是感觉很爽~~我竟然自己把病毒搞定了~~我原来也很聪明吗~!!
事后和同学说了,都不相信我,我也忍了~
电脑这东西永远学不完啊~~
|
|
| |
|
|
|
| |
|
| |
|
| |
|
| |
|
|
|
