早上一开机，闲来无事就随手打开“任务管理器”，一看不得了，吓了一大跳，有一个进程“rejoice.exe”一闪而过，再仔细一看还有一个陌生的“calc.exe”进程，马上终止其进程，一次、两次都不成功，第三次才将其结束。马上上网查询，“rejoice.exe”进程显示为“上兴远程控制软件”，用途是“窃取密码和个人数据”，这不是木马程序又是什么？而“calc.exe”则显示的是系统“计算器”，奇怪的是根本就没启用计算器，怎么会显示有其进程呢？并且其进程名称有时是大写有时又是小写的，还不能结束其进程，难道木马进程插入到了计算器中？

    一、木马症状介绍

　　真就奇怪了，就连大名鼎鼎的avast杀毒软件都没有报警，马上升级病毒文件，查、查、查！完了，杀毒软件一点反应都没有。于是，马上又打开360安全卫士进行系统全面扫描，结果显示是“上兴远程控制服务端”（如图01），马上用360安全卫士修复，又以失败告终。

图1 360安全卫士的系统全面诊断

　　再次上网仔细搜索，原来这是中“上兴僵尸”的招了，资料显示：“此病毒属后门类，可以远程控制用户机器，进行各种操作。病毒运行后衍生病毒文件到系统目录下，修改注册表，新建服务，并以服务的方式达到随机启动的目的，病毒插入系统 IE 进程中，由于该病毒采用驱动级技术，所以清除困难”，这可怎么办？

　　于是马上按照360安全卫士提示的路径，依次打开C:\Program Files\Common Files\Microsoft Shared\M-SINFO\rejoice44.exe，找到其文件，右击、删除。

　　再用360安全卫士进行扫描，文件依然存在，其文件还能自动升成？并且此时的风云防火墙也拦截到了drwtsn32.exe试图阻止rejoice44.exe运行的证据（如图02），怪不得将其文件删除后还会自动生成，原来其进程早已插入到其它的进程中了，虽说文件已删除，但其进程还在运行。

图2 风云防火墙的拦截提示

    二、手工查杀木马

　　没办法只好是上网查询其剿杀办法了，搜询的结果是网上也没有提供详细的查杀方案，无奈之下，只能是参照网上提供的经验自己动手解决了。首先是断开网络，重新启动电脑至安全模式，点击“开始→运行”，在“运行”窗口中输入“regedit”确定，打开“注册表”编辑器，点击“编辑→查找”，在“查找”窗口中输入控制端名称“Windows_rejoice2007_44”，然后点击“查找下一个”，在查找的结果中将其键值“项”删除（如图03），结果并非想象的那样简单，木马程序早已将其键值“项”设为“只读”进行保护，只能是动手修改其权限了，在键值“项”上右击鼠标，选择“权限”，在打开的“权限”窗口中，选中“Administrators”，再点击下方的“高级”，然后在打开的“Microsoft的高级安全设置”窗口中，双击“允许Administrators”，在打开的权限窗口中，选择“完全控制”确定即可，这样就能将其“项”执行删除了，再按下F3键查找下一个，依照上述方法反复查找、删除，直到全部删除与之相关的键值“项”为止。

图3 进入注册表编辑器修改键值

　　此时再回到C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice44.
exe，找到其文件，执行删除。在删除过程中可能会弹出错误信息窗口，原因是注册表中的键值“项”删除后，此时在“服务项”中还是会残留有服务“名称”（文件）（如图04），由于其不能自动激活注册表文件，才会弹出错误信息。关闭“服务窗口”，关闭电脑，重新启动。

图4 关闭木马的服务

　　重新启动电脑后，再次查看“任务管理器”一切正常，再打开360安全卫士进行系统全面扫描，也没再显示有“上兴远程控制服务端”了，防火墙也显示正常了。

 

评论 (0) All

登陆 还没注册？