| [PID: 664 / wucz][C:WINDOWSexplorer.exe] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_qfe.070613-1311)] [C:WINDOWSsystem32opikgiig.dll] [N/A, ] [C:WINDOWSsystem32lpaecbkd.dll] [N/A, ] [C:WINDOWSsystem32eophhibh.dll] [N/A, ] [C:WINDOWSsystem32hnmcghga.dll] [N/A, ] [C:WINDOWSsystem32eppddjga.dll] [N/A, ] [C:WINDOWSsystem32pcihnhoe.dll] [N/A, ] [C:WINDOWSsystem32mgeehell.dll] [N/A, ] [C:WINDOWSsystem32cmmepnpg.dll] [N/A, ] [C:WINDOWSsystem32bpdbejni.dll] [N/A, ] [C:WINDOWSsystem32chcciemm.dll] [N/A, ] [C:WINDOWSsystem32ojifgnek.dll] [N/A, ] [C:WINDOWSsystem32bbocgfaf.dll] [N/A, ] [C:WINDOWSsystem32hbdopajh.dll] [N/A, ] [C:WINDOWSsystem32kcmckigf.dll] [N/A, ] [C:WINDOWSsystem32bagnejcl.dll] [N/A, ] [C:WINDOWSsystem32ohelnppm.dll] [N/A, ] [C:WINDOWSsystem32hadcehpo.dll] [N/A, ] [C:WINDOWSsystem32lblilnco.dll] [N/A, ] [C:WINDOWSsystem32anymie360.dll] [N/A, ] [C:WINDOWSsystem32contmenu.dll] [N/A, ] HOSTS 文件中有个仿冒QQ主页的虚假网站。 | 98.126.33.210 www.qq.com98.126.33.210 qq.com 经检查这个98.126.33.210来自欧洲,估计是黑客抓的一台肉鸡。
4.利用多个工具强行删除上面那一长串DLL和危险EXE。
我先用了文件粉碎器,浏览了windowssystem32目录,把和这些DLL是同一天生成的若干个奇怪的DLL文件和EXE文件全部粉碎(这需要经验判定,没有把握的文件可以不必删除)。把分析日志发现的可疑文件列表导入xdelbox,一次重启删除。
为什么要将两个工具结合使用?我的依据是,日志分析可以发现恶意软件的加载点,但对于下载器来说,也并非所有下载后的产物都会在系统启动时加载,检查windowssystem32目录下的异常文件,再人为删除还是有一定的价值。
5.重启电脑,发现开机速度快了不少,同时有若干DLL文件加载失败的提示框弹出。
再次使用急救箱,已经不再崩溃,顺利完成了扫描,发现130多个可疑加载项。此时,我没有立即选择重启。
6.尝试运行清理专家2.6.5,人工删除木马是根据经验判断,总会有所遗漏,并且,我们不大可以记住许多恶意软件对注册表和系统配置文件的修改,这里的扫尾工作还是交给清理专家的恶意软件清除模块来解决。
这次发现了10多个恶意软件,全部清除之后,重复扫描已经不再发现残留。
接下来再次重启电脑,分别使用清理专家的进程分析和急救箱,均未发现新的不安全的加载项,初步判定清除完毕,剩下的工作就是把这次发现的未知文件传给珠海分析了。
以上步骤其实并不复杂,核心要点是进程分析以发现可疑进程,结束危险进程后,一般用户推荐使用急救箱解决,毕竟急救箱更简单,效果还是不错的。
建议普通用户掌握日志导出功能,在你不能解决时,可以在论坛提交日志,请有经验的网友帮你解决。 | |
