当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 神秘特洛伊木马查杀记

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 神秘特洛伊木马查杀记


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

  前两天在家上网,我发现突然出现一个问题:其实开的窗口并不多,但是点击链接打开新网页的时候,机器很慢,有死机的征兆,鼠标虽然能动,但是无法点击任何图标,也无法关闭窗口。我很奇怪,因为我的电脑虽然老点儿,但是好歹也是奔四1.6GHz+256M DDR内存的机器,怎么上网会出现这种情况呢?

  我心里一沉,看来估计是中毒了。由于是WinXP的操作系统,所以我按住Alt+Ctrl+Del三个键,调出了任务管理器。在进程栏里面,我看到了两个可疑的进程,它们的映像名称分别是mshta.exe和ftp.exe,我一看后面的用户名写着zhizhizhai,这是我取的管理员的名字。这么说来,虽然我没有打开过这两个应用程序,但是很可能这就是病毒发作的表现。我尝试着结束这两个进程,但是都没有反应,它们还是摆在那里一动都不动。我心里更加紧张了,看来遇到难缠的病毒了。我点了任务管理器的注销和重启,但是也都没有任何反应,看了是什么都做不了了,我绝望地按了电脑机箱的reset键,手动重启了。

  重启以后,好像没事了。我用带最新病毒库的金山毒霸6查杀病毒,没有发现任何结果。我想,可能没什么东西吧,这档子事儿也就搁下来没管了。

  今天,上网上着上着突然又发现了同样的问题。我打开任务管理器一看,果然又是那两个进程。以我的经验和那天查毒的结果看来,这是个新病毒。于是,我只有再一次重启。重启后,我打开百度搜索,分别输入mshta.exe和ftp.exe进行搜索,看了很多网上的文章以后我发现自己是长知识了,因为这两个exe文件是地地道道的系统文件,也就是说,它们绝非病毒,但是它们非常容易被病毒操纵。那么是谁在调用它们,在幕后操纵呢?我还是没有找到答案。就在我正看某一个网页的时候,发现鼠标又不能点击窗口了,机器又呈现出死机的状态。唉,又来了!我在心里狠狠地骂了一句脏话,并发誓要消灭这个害人的家伙!

  再次重启,这次我可是直奔金山毒霸6的升级,费了好一会功夫把我的金山毒霸6升到了金山毒霸2005,这可是金山毒霸杀毒引擎的最新版本,而且病毒库也是最新的了。我再点击“全面杀毒”,结果15分钟过去了,还是没有发现任何结果。我这可真叫一个郁闷,明明电脑中了毒,结果杀毒软件愣是没发现。金山毒霸在我心目中一向非常好用的,这次它的无能破坏了它在我心中的良好印象。

  怎么办?我想,从症状入手,可以猜测到这个病毒具有木马特征,因为每次出事的时候我都在上网(我上网要先打开虚拟拨号),而上网之前我用任务管理器看过了是没有那两个进程的,那么何不用用金山毒霸木马专杀工具?我打开木马专杀,又完整地查了一遍,没有发现木马,但是发现了一个可疑文件。我心里一阵狂喜,看来就是这小子了!根据木马专杀工具的显示,这个可疑文件位于C:\WINDOWS\system32目录下,名字叫sysapis.dll,这应该是一个动态链接库文件吧。我打开system32目录,没有找到,看来是隐藏了,真狡猾。我点“工具”,再点“文件夹选项”,再点“查看”,选择“显示所有文件和文件夹”,还是没有发现。可恶!我再去掉“隐藏受保护操作系统文件(推荐)”这一项前面的勾,点“确定”。这一次,哈哈,终于出来了。

  我一看它的属性,创建时间是2005年7月18日上午10:02,正是两天前出事的那个时间。我想,既然是系统文件,创建时间怎么会是两天前,我的系统可不是两天前才装的啊,再狡猾也露馅了吧。我按下Delete键,想“杀之而后快”,结果弹出提示“无法删除,请确保磁盘未写满或未被写保护”。唉,真是顽固的害人精!

  好吧,那我就进“安全模式”,再来杀你!为了方便再次找到它,我右击这家伙,在“属性”里去掉“隐藏”前面的勾,然后重启电脑,接着按F8进入提示菜单里,选择“安全模式”进入XP。再次在windows\system32下面找到它,我删,怎么还是删不掉!?我服了!连安全模式都不能删除,那我只能拿出最后的绝招了——进DOS删!

  我重启电脑,按Del键进入CMOS设置里,把启动顺序改成软驱第一启动,然后插入以前用Win98制作好的DOS启动盘,让电脑进入DOS系统。我很快便找到了这个sysapis.dll文件,毫不犹豫用del sysapis.dll命令删除之。这次,它没得反抗了。我再用dir命令查找了一遍,真的没了!

  然后重启电脑,把启动顺序改回来。重新进入XP系统,上网的状况一切恢复正常。谢天谢地,总算把这个木马消灭了。真不容易啊,为了杀这个混蛋,我重启了多少遍电脑啊!

  个人体会:杀掉这个木马,对于电脑高手来讲,可能不是一件难事,但是对于许多普通人或是菜鸟来讲,就不简单了。因为,这个木马伪装得非常巧妙,杀毒软件根本无法检测到它的病毒特征,就连木马专杀工具都无法确认其真正的木马身份。我装了金山网镖作为防火墙,可是还是没起到作用。到最后,还是得靠自己分析才找到它,并杀掉它。这次“剿匪记”的经历可谓一波三折,但是最终我还是胜利了。