这病毒应该是个木马,我怀疑是我打开了什么网页之后中招的。最明显的就是Terminal Services这个系统服务被强制启动了,而且我还停不了它—— normally我装完系统都会关掉一些不必要的服务,比如这个Terminal Services。
然后我发现它一直在往C:Documents and SettingsAll UsersApplication Data目录下写文件,文件名是随机的,像jinl.exe、jinf.exe、jinj.exe、jink.exe这种,明显不对劲。
分析过程:
首先我查了开机启动项,发现多了几个可疑的名字,比如Servere、c0nime、crasos、rundl132、winlog0n、servicer,这些启动项对应的程序都藏在C:Documents and SettingsAll UsersApplication Data目录下。我先把这几个启动项删了,然后进到那个目录把里面的文件全干掉了。
不过有几个dll文件死活删不掉,比如Gjzo0.dll、LgSy0.dll、Msxo0.dll、Qqzo0.dll、Rav20.dll、Rav30.dll、Wmzo0.dll,基本可以确定就是这个木马用的一些动态链接库。
查进程:
接着我打开进程管理器(我用的是Windows优化大师带的那个),挨个看进程,但正常进程里没看到啥异常的。这时候我就意识到,这玩意儿八成是注入到系统进程里面去了。这类病毒最喜欢寄生在EXPLORER.EXE、IEXPLORE.EXE、SVCHOST.EXE这些系统进程里。
于是我开始检查这些系统进程加载的模块列表,果然,在EXPLORER.EXE进程里发现了那几个删不掉的dll文件:Gjzo0.dll、LgSy0.dll、Msxo0.dll、Qqzo0.dll、Rav20.dll、Rav30.dll、Wmzo0.dll,妥妥地中招了。
清除方法:
然后我发现它一直在往C:Documents and SettingsAll UsersApplication Data目录下写文件,文件名是随机的,像jinl.exe、jinf.exe、jinj.exe、jink.exe这种,明显不对劲。
分析过程:
首先我查了开机启动项,发现多了几个可疑的名字,比如Servere、c0nime、crasos、rundl132、winlog0n、servicer,这些启动项对应的程序都藏在C:Documents and SettingsAll UsersApplication Data目录下。我先把这几个启动项删了,然后进到那个目录把里面的文件全干掉了。
不过有几个dll文件死活删不掉,比如Gjzo0.dll、LgSy0.dll、Msxo0.dll、Qqzo0.dll、Rav20.dll、Rav30.dll、Wmzo0.dll,基本可以确定就是这个木马用的一些动态链接库。
查进程:
接着我打开进程管理器(我用的是Windows优化大师带的那个),挨个看进程,但正常进程里没看到啥异常的。这时候我就意识到,这玩意儿八成是注入到系统进程里面去了。这类病毒最喜欢寄生在EXPLORER.EXE、IEXPLORE.EXE、SVCHOST.EXE这些系统进程里。
于是我开始检查这些系统进程加载的模块列表,果然,在EXPLORER.EXE进程里发现了那几个删不掉的dll文件:Gjzo0.dll、LgSy0.dll、Msxo0.dll、Qqzo0.dll、Rav20.dll、Rav30.dll、Wmzo0.dll,妥妥地中招了。
清除方法: