当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 一波三折 神秘特络伊木马查杀记

安全基础
企业局域网的安全有效管理
QQ聊天时躲避黑客攻击的安全技巧
防止域名劫持的技巧
对于TOR是否能够实现真正安全传输的技术分析
教你找出并清除系统中木马的藏身之所
预防路由器蠕虫攻击
提高Windows系统安全性从设置启动项做起
赛门铁克称只有34%的PC用户会定期进行备份
如何解决网络不能正常传输问题?
摆脱Ghost一键恢复到整个硬盘的困扰
信息安全的关键:密码安全
加强路由器安全的轻松方法
怎样删除自己看过电影的踪迹?
江民6月6日病毒播报:魔兽用户在传播病毒
江民6月9日病毒播报:“杀人魔”木马
WindowsXP系统无线网络的安全
服务器虚拟机的安全管理注意事项
无线网络加密攻略
安全配置交换机端口提高网络安全性
和黑客的ASP漏洞入侵说byebye

安全基础 中的 一波三折 神秘特络伊木马查杀记


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 66 ::
收藏到网摘: n/a

       前两天在家上网,我发现突然出现一个问题:其实开的窗口并不多,但是点击链接打开新网页的时候,机器很慢,有死机的征兆,鼠标虽然能动,但是无法点击任何图标,也无法关闭窗口。我很奇怪,因为我的电脑虽然老点儿,但是好歹也是奔四1.6GHz+256M DDR内存的机器,怎么上网会出现这种情况呢?

  我心里一沉,看来估计是中毒了。由于是WinXP的操作系统,所以我按住Alt+Ctrl+Del三个键,调出了任务管理器。在进程栏里面,我看到了两个可疑的进程,它们的映像名称分别是mshta.exe和ftp.exe,我一看后面的用户名写着zhizhizhai,这是我取的管理员的名字。这么说来,虽然我没有打开过这两个应用程序,但是很可能这就是病毒发作的表现。我尝试着结束这两个进程,但是都没有反应,它们还是摆在那里一动都不动。我心里更加紧张了,看来遇到难缠的病毒了。我点了任务管理器的注销和重启,但是也都没有任何反应,看了是什么都做不了了,我绝望地按了电脑机箱的reset键,手动重启了。

  重启以后,好像没事了。我用带最新病毒库的金山毒霸6查杀病毒,没有发现任何结果。我想,可能没什么东西吧,这档子事儿也就搁下来没管了。

  今天,上网上着上着突然又发现了同样的问题。我打开任务管理器一看,果然又是那两个进程。以我的经验和那天查毒的结果看来,这是个新病毒。于是,我只有再一次重启。重启后,我打开百度搜索,分别输入mshta.exe和ftp.exe进行搜索,看了很多网上的文章以后我发现自己是长知识了,因为这两个exe文件是地地道道的系统文件,也就是说,它们绝非病毒,但是它们非常容易被病毒操纵。那么是谁在调用它们,在幕后操纵呢?我还是没有找到答案。就在我正看某一个网页的时候,发现鼠标又不能点击窗口了,机器又呈现出死机的状态。唉,又来了!我在心里狠狠地骂了一句脏话,并发誓要消灭这个害人的家伙!

  再次重启,这次我可是直奔金山毒霸6的升级,费了好一会功夫把我的金山毒霸6升到了金山毒霸2005,这可是金山毒霸杀毒引擎的最新版本,而且病毒库也是最新的了。我再点击“全面杀毒”,结果15分钟过去了,还是没有发现任何结果。我这可真叫一个郁闷,明明电脑中了毒,结果杀毒软件愣是没发现。金山毒霸在我心目中一向非常好用的,这次它的无能破坏了它在我心中的良好印象。

  怎么办?我想,从症状入手,可以猜测到这个病毒具有木马特征,因为每次出事的时候我都在上网(我上网要先打开虚拟拨号),而上网之前我用任务管理器看过了是没有那两个进程的,那么何不用用金山毒霸木马专杀工具?我打开木马专杀,又完整地查了一遍,没有发现木马,但是发现了一个可疑文件。我心里一阵狂喜,看来就是这小子了!根据木马专杀工具的显示,这个可疑文件位于C:\WINDOWS\system32目录下,名字叫sysapis.dll,这应该是一个动态链接库文件吧。我打开system32目录,没有找到,看来是隐藏了,真狡猾。我点“工具”,再点“文件夹选项”,再点“查看”,选择“显示所有文件和文件夹”,还是没有发现。可恶!我再去掉“隐藏受保护操作系统文件(推荐)”这一项前面的勾,点“确定”。这一次,哈哈,终于出来了。

  我一看它的属性,创建时间是2005年7月18日上午10:02,正是两天前出事的那个时间。我想,既然是系统文件,创建时间怎么会是两天前,我的系统可不是两天前才装的啊,再狡猾也露馅了吧。我按下Delete键,想“杀之而后快”,结果弹出提示“无法删除,请确保磁盘未写满或未被写保护”。唉,真是顽固的害人精!

  好吧,那我就进“安全模式”,再来杀你!为了方便再次找到它,我右击这家伙,在“属性”里去掉“隐藏”前面的勾,然后重启电脑,接着按F8进入提示菜单里,选择“安全模式”进入XP。再次在windows\system32下面找到它,我删,怎么还是删不掉!?我服了!连安全模式都不能删除,那我只能拿出最后的绝招了——进DOS删!

  我重启电脑,按Del键进入CMOS设置里,把启动顺序改成软驱第一启动,然后插入以前用Win98制作好的DOS启动盘,让电脑进入DOS系统。我很快便找到了这个sysapis.dll文件,毫不犹豫用del sysapis.dll命令删除之。这次,它没得反抗了。我再用dir命令查找了一遍,真的没了!

  然后重启电脑,把启动顺序改回来。重新进入XP系统,上网的状况一切恢复正常。谢天谢地,总算把这个木马消灭了。真不容易啊,为了杀这个混蛋,我重启了多少遍电脑啊!

  个人体会:杀掉这个木马,对于电脑高手来讲,可能不是一件难事,但是对于许多普通人或是菜鸟来讲,就不简单了。因为,这个木马伪装得非常巧妙,杀毒软件根本无法检测到它的病毒特征,就连木马专杀工具都无法确认其真正的木马身份。我装了金山网镖作为防火墙,可是还是没起到作用。到最后,还是得靠自己分析才找到它,并杀掉它。这次“剿匪记”的经历可谓一波三折,但是最终我还是胜利了。