木马病毒查杀经验分享
晚上一打开博客,卡巴斯基Kav2009就频繁弹出报警窗口,检测到威胁,木马程序Trojan.js.Redirector.ar,经过分析发现病毒来源于http://pagead2.googlesyndi...。从网址上看,这分明就是Google Adsense,也就是Google的广告,难道Google的广告代码被挂马了?还是卡巴的又一次误报?
昨晚下载一个播放器,文件很小,几秒钟就下载完成了。点击程序图标运行,卡巴立刻不停弹出报警,却没能顺利拦截恶意程序
,桌面上多了3个图标,都是浏览器的。点击后打开的主页指向dao234.com,而且删除不掉(右键只有打开和创建桌面快捷方式)。马上查杀病毒,也使用了360安全卫士的文件粉碎机,安全模式也试过,可根本没用。遇到这种流氓软件,到底怎么办呢?
,桌面上多了3个图标,都是浏览器的。点击后打开的主页指向dao234.com,而且删除不掉(右键只有打开和创建桌面快捷方式)。马上查杀病毒,也使用了360安全卫士的文件粉碎机,安全模式也试过,可根本没用。遇到这种流氓软件,到底怎么办呢?
终于对360安全卫士失去了耐心,其查杀流行木马时的增强模块更新速度慢如蜗行,15分钟都未必能更新完成。我就想不通,为什么工程师不把模块更新做到静默在后台执行,而非要在用户使用时考验用户的忍耐力哪?另外补充一点,每当用360安全卫士查杀木马时,卡巴斯基总是将360给隔离了,只有关闭卡巴,才能让360正常运行,让人不得不怀疑360的行为不轨。
在我找到了超级巡警以后,我毫不犹豫的把360扔进了垃圾箱!
在我找到了超级巡警以后,我毫不犹豫的把360扔进了垃圾箱!
这个星期先后上门给两个朋友解决了电脑故障,他们共同的特点就是都在使用江民KV2007杀毒软件。下面我就实例讲解修复故障的过程。
朋友甲的电脑只有在第一次打开IE浏览器的时候可以正常浏览网页,关闭浏览器窗口后就再也无法打开网页;QQ可以始终正常在线使用,但聊天信息发送速度极为缓慢。解决过程:既然打开过IE浏览器并能正常上网,说明IE浏览器的设置没问题。用朋友装的江民KV2007查杀病毒木马,提示没有病毒。打开Hosts文件,发现里面很正常。难道是江民KV2007的网页监控设置问题?打开江民KV2007的设置页面,也没发现异常。奇怪,这到底是什么问题哪?难道是系统文件受损,非要重装系统吗?这时,我突然灵光一闪,试着关闭了KV2007,看是否可以打开IE上网,没想到,还真可以正常浏览网页了。反复打开、关闭IE,上网一点问题也没有。现在问题清楚了,都是江民KV2007惹得祸。于是把江民KV2007删除,然后再重装KV2007,故障排除。
朋友甲的电脑只有在第一次打开IE浏览器的时候可以正常浏览网页,关闭浏览器窗口后就再也无法打开网页;QQ可以始终正常在线使用,但聊天信息发送速度极为缓慢。解决过程:既然打开过IE浏览器并能正常上网,说明IE浏览器的设置没问题。用朋友装的江民KV2007查杀病毒木马,提示没有病毒。打开Hosts文件,发现里面很正常。难道是江民KV2007的网页监控设置问题?打开江民KV2007的设置页面,也没发现异常。奇怪,这到底是什么问题哪?难道是系统文件受损,非要重装系统吗?这时,我突然灵光一闪,试着关闭了KV2007,看是否可以打开IE上网,没想到,还真可以正常浏览网页了。反复打开、关闭IE,上网一点问题也没有。现在问题清楚了,都是江民KV2007惹得祸。于是把江民KV2007删除,然后再重装KV2007,故障排除。
传统的卡巴激活KEY文件我一般都是在中天论坛、卡饭等一些专业论坛寻找,这些论坛要么长期关闭注册,要么需要注册id才可以进入,相对于普通朋友来说有些麻烦。今天我找到了一个超强的卡巴激活KEY网站http://www.kavkiskey.com/,只要进入这个网站,所有的卡巴KEY文件都一目了然,分类详细,总共有100多个不同版本的KEY文件,随便点击就可以下载,非常方便。这个网站显示最后更新的时间是08年4月9号,我随便下载了一个KIS7.0的激活KEY文件,显示激活成功,证明这些KEY的可信度还是很高的。
上个月的某天,我建的东风论坛电脑爱好者QQ群里,突然一个陌生的号码急切的寻求高手帮助。他的ip显示来自山东德州,加他好友后,他详细介绍了故障经过:他从本地竞争对手的网站里下载一个物流软件后,导致他自己的网站被恶意屏蔽而打不开,而这个物流软件是他和他的客户必须要使用的,别的地方下载不到,属于本地专用的物流软件。
他怀疑竞争对手在软件里做了手脚。我建议他先查毒木马,他说查过了没有。于是我让他下载了Sreng,并把扫描报告发给了我,我仔细看了一下,发现有很多不明程序在运行。我让他逐一用Sreng禁用那些陌生进程进行测试,终于在禁用一个[Internetsvr / Internetsvr][Running/Auto Start] 时,网站可以打开了,如下图所示。
他希望我帮忙从软件里剔除这个恶意插件,我尝试用eXeScope对那个物流软件脱壳查看,可失败了。只有建议他用Sreng对那个可疑文件进行禁用处理,虽然麻烦了点,但很管用。而且建议他不要对那个INETSVRE.EXE删除或改名,因为这个文件是嵌入到软件程序里的模块,删除或改名都可能会使物流软件无法运行。他不听,试了一次就明白我的意思了,哈哈哈。
他怀疑竞争对手在软件里做了手脚。我建议他先查毒木马,他说查过了没有。于是我让他下载了Sreng,并把扫描报告发给了我,我仔细看了一下,发现有很多不明程序在运行。我让他逐一用Sreng禁用那些陌生进程进行测试,终于在禁用一个[Internetsvr / Internetsvr][Running/Auto Start]
他希望我帮忙从软件里剔除这个恶意插件,我尝试用eXeScope对那个物流软件脱壳查看,可失败了。只有建议他用Sreng对那个可疑文件进行禁用处理,虽然麻烦了点,但很管用。而且建议他不要对那个INETSVRE.EXE删除或改名,因为这个文件是嵌入到软件程序里的模块,删除或改名都可能会使物流软件无法运行。他不听,试了一次就明白我的意思了,哈哈哈。
