没有什么技术含量,纯粹是教MM处理病毒的过程.
MM对这些可是什么都不会噢,本来想自己帮她解决的,后来想了想, 給她一条鱼,不如教给她怎么捕鱼.(原话忘记了)
可能有点误人子弟..嘿嘿.
操作系统:WindowsXp Sp2
用到的工具:金山清理专家,SREng,XDelBox1.6,
中毒后的现象:系统时间被修改(每次启动都需要先设置时间才能进入系统,电脑为IBM T40笔记本)
毒霸的文件实时防毒和监控无法开启.(后来开启之后,一直提示发现病毒并删除)
双击硬盘无法进入.
18:10 开始……
拿到MM本本的时候,开机,1分钟,2分钟,5分钟 …… (不会进入系统)..
MM看到我在对着那排提示按F1键发愣,直接过来,一边操作,一边说着,应该这样,然后这样^...
最后还是MM告诉我怎么进去的,因为系统时间被修改了,需要先进入BIOS设置系统时间才能进去.
之后MM用很鄙夷的眼神看着我...
"我知道怎么进去,我只是在思考,这怎么会出现这东西?."
"你到底行不行啊?今天弄不好你就别想离开"
- -|| (我可是义务帮她啊..)
把要用到的工具通过U盘拷入电脑.
"你过来,坐这,我教你怎么把电脑修好"
"我什么都不会啊,还是你弄吧"
"没事,这个病毒简单,适合交给你学习"
"你什么意思?"
"像你这么聪明可爱的,这病毒对你来说很简单就可以解决"
"这还差不多,你让开,坐我旁边看着"
- -!! ( 嗯....)
"现在怎么弄?"
"你先打开我的电脑,然后……"
"我怎么进不去D盘 和 E盘?"
"因为有病毒文件啊,你右键盘符然后选择打开就可以进去了"
"噢,那病毒文件在哪呢?"
"病毒文件是隐藏的文件,在你硬盘里面."
"什么是隐藏的文件,我怎么看不到"
"隐藏文件,就是藏起来不让你看到的文件啊"
"那要怎么才能找到?"
"你点上面的的那个 工具 - 文件夹选项 ,点查看, 选择'显示所有文件和文件夹',然后把'隐
藏受保护的操作系统文件(推荐)'前面的那个勾去掉.还有把'隐藏已知文件类型的扩展名'前面的勾也去掉.最后点确定"
"怎么多出来这么多文件?"
"这个 System Volume Information 是系统还原的文件夹,那个 RECYCLER 是回收站的文件夹.这个 AutoRun.inf 和 AutoRun.exe 就是病毒文件了"
"我该怎么杀死它们?"
"先不用搭理它们俩, 你先打开那个SREngPS.EXE ,点 智能扫描 - 扫描"
"噢,要多长时间啊?"
"很快."
"扫描完了,然后呢?"
"点那个保存,把扫描的报告存到桌面,然后打开"
"这是什么啊?你英文很好吗?"
- -# (SREng的结果MM一时接受不了)
"你打开 金山清理专家 - 在线系统诊断 "
"这该死的病毒,无聊不无聊,它们怎么跑我电脑上的?"
"盗你的QQ号,游戏帐号啊,"
"好了,扫描好了,这么多?"
"你点下面那句蓝色的提示" (点击这里隐藏所有已知为安全的项)
MM之前使用毒霸做过杀毒,映像劫持都是残留,应该是被毒霸给处理了
(因为在公司里面,所以没有联网)
"这么多病毒啊,快说,下面该怎么做啊?"
"把它们前面的小方框都打上勾,然后清除,以后你就用这个就行了"
"那个X…… Del…… Box 的做什么用的?"
"删除文件用的."
"它厉害还是清理专家厉害?"
"都厉害,XDelBox一般是要删除的文件很多的时候用."
"教我用它"
"把XDelBox1.6.rar 解压到桌面,然后打开XDelBox.exe "
"然后呢?"
"把那个英文的日志打开"
"嗯,看不懂怎么办?"
"没事,你记住,只要是 [] 和 [N/A] 这两个符号的行,都保存下来,其他的全部删掉,还有就是Autorun.inf 这样名字的文件也留下."
N 长时间过去之后……
"终于删完了,后面还要做什么?"
这个是指导她完成的,我真不知道该怎么说了!!
<system><C:\WINDOWS\system32\finterneter.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<SHAProc><C:\WINDOWS\SHAProc.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<{9ef410d2-d67a-4f02-beb2-cc14b375da17}><C:\WINDOWS\system32\ffCBDCBD1036.dll> []
<{88c3aba9-b996-4f01-8285-77ad81638fb6}><C:\WINDOWS\system32\ayFKKFKK1050.dll> []
<{137bbc18-43d5-4fad-98e8-2e04d997be0e}><C:\WINDOWS\system32\ayNNBNNB1036.dll> []
<{70c330f3-fb9e-44fc-8f4b-14ab783005e5}><C:\WINDOWS\system32\ffEZZEZZ1033.dll> []
<{6e43e821-18ea-49e1-86c1-ac41c555940b}><C:\WINDOWS\system32\ayVUUVUU1002.dll> []
<{c1604cab-e1ac-4c12-8904-d9f5eac41328}><C:\WINDOWS\system32\ayHADHAD1051.dll> []
<{9ed62dfc-d59f-410e-bf1b-7d214e0527e6}><C:\WINDOWS\system32\ffSACSAC1019.dll> []
<{3c8611a6-b3bd-4d25-a7ce-89c24d75473c}><C:\WINDOWS\system32\ayDABDAB1048.dll> []
[login]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.exe --> [N/A]><H>
[login]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\login.exe --> [N/A]><H>
C:\autorun.inf
C:\autorun.exe
D:\Autorun.inf
D:\autorun.exe
E:\Autorun.inf
E:\autorun.exe
"弄好之后还需要进行什么吗??"
"嗯,你把前面的符号和后面的那些符号都去掉,只留下中间的那些路径"
………………
"删完之后该怎么做?"
"把剩下的全部选中,然后复制,打开 XDelBox.exe ,然后在那个大白框里面右键,选择"剪贴板导入不检查路径"
"嗯,嗯,然后呢?"
"右键,选择'立刻重启执行删除'"
"这样病毒是不是就被杀死了?这么简单啊."
"嗯,应该是杀死了"
"什么是应该啊,要是杀不死,我就杀了你"
- -|
"哇,不用设置时间了,我能双击进入硬盘了,哈哈,没了吧?"
"你先把毒霸打开,把文件实时防毒开启"
"噢........,下面的那个盾牌怎么变成红色了?"
"这样才正常啊.刚才那是毒霸的监控没开所以是蓝色的"
"还是蓝色的好看"
- -!!
"你现在打开金山清理专家,然后点在线诊断进行扫描,把那些残留都给清除就可以了"
"我电脑怎么变慢了.?"
"你心里作用吧?我怎么感觉快了?你一会儿把启动项里面的酷狗,QQ,和MSN都给禁用了.这样启动的时候就不会那么卡了"
…………
"哈哈.终于弄好了,19:00了已经.走,我请你吃法.以后我朋友中病毒了,我帮他们解决."