上一篇
下一篇
中毒了
作者:Starland 日期:2008-01-05 18:44:24
昨晚在网上看 Mcafee 防病毒软件的一些信息。在 Google 里查了一下,然后打开了一个链接。那个网站打开后出来一些栏目名称,就不动了,我正打算关掉,我机器上的 Mcafee 开始报警了,不断弹出发现木马的信息。
我关掉网页,然后打开 IE 浏览器的选项,清除 Internet 临时文件。这时 Mcafee 又开始报警了,接着出现命令行窗口,Mcafee 也被停止了,我赶紧关掉线缆猫,打开 360 安全卫士清木马,不一会 360 也不动了,机器死了。我只好 RESET 机器,进安全模式,再用 360 安全卫士查木马,清理进程、启动项、浏览器插件、系统服务等项目。这时任务管理器已经被干掉了,隐藏文件也不能显示。之后直接 RESET 机器,再进安全模式,用 360 安全卫士清木马。再重复一次。然后 RESET 机器,正常启动,这时 Mcafee 活了。用 360 安全卫士再查一遍木马,然后用 Mcafee 全盘扫描,把残余的木马文件清理掉。这时发现计算机日期被改成了 2000 年,XP的防火墙被关掉了。折腾了近两个小时,关机睡觉。
今天上午开始查该死的病毒的背景。防病毒发现的病毒文件名是 TxoMoU.Exe ,上网搜了一下,百度贴吧里有位大侠写了手工清理这个病毒的过程(地址:http://post.baidu.com/f?kz=302345150)。用金山清理专家查了一遍,搜到了SOS这个残余木马,但不能修复任务管理器。然后搜索文章,把显示隐藏文件、任务管理器修复了。
之后在 http://bbs.cfan.com.cn/ 里看到以下内容:
-----------------------------------------------------------------------------------------------------------
病毒运行后首先会判断System32路径下是否有TxoMoU.Exe这个文件,如果有则调用WinExex函数运行该程序,然后释放与病毒文件同名bat把自己删除。
如果没有首先创建一个名为sos的互斥体防止进程有多个病毒实例运行。
然后把自己复制到System32路径下命名为TxoMoU.Exe,添加以下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\crsss="C:\WINDOWS\system32\TxoMoU.Exe"
然后病毒修改以下注册表项实现不显示隐藏文件、禁用任务管理器、禁止Windows升级功能:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\DisableWindowsUpdateAccess = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0
每隔1分钟从以下网址下载病毒程序:
http://sss.xxxxxx.com/url.txt
http://sss.xxxxxx.com/IE.txt
每隔1秒查找360安全卫士进程,如果找到则结束该进程。修改系统时间为2000年,使得卡巴斯基杀毒软件失效。病毒每隔0.2秒把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。最后病毒每隔5秒进行以下操作:
查找有以下字符串的窗口并发送WM_CLOSE消息关闭该窗口: 检测、木马、病毒。修改以下注册表键值使得修改IE主页失效。
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage = 1
删除用户系统中所有的.GHO文件。
而且,在安全模式下此病毒也在运行,杀毒软件和木马查杀工具根本无法运行。
-----------------------------------------------------------------------------------------------------------
看完后,一看自己的 WINDOWS UPDATE,果然被禁用了;上半年装机时备份的系统 GHOST 文件也没了。惨!!!
文章来自: 
引用通告: 
Tags:
