前段时间上网搜索sharepoint的学习资料,不料一不小心入了狼窝,中招了。马上祭出法宝360safe扫描一通,杀了好几个病毒和恶意插件,再手工清理了一些残留信息,满以为大功告成了。看看天色以晚就回家休息了。第二天上班打开IE却发现首先被修改成了http://www.kzxf.net/?b,当时并没觉得怎么样,手动改成了空白页(个人偏好),就继续看新闻了。谁料过了一段时间再次打开IE时发现首页又被改了。只好用360safe再扫描一通,只发现一个acpidisk驱动的殘留信息,却怎么也无法清除,查看其它项却无异常。当时没有太在意.这样过了几天实在感觉不爽。于是决定彻底干掉它,拿出工具IceSword和360安全卫士扫描,还是只是发现acpidisk驱动殘留信息。想升级360安全卫士,发现不能升级,进360网站也不行。查看hosts文件,发现包括卡巴斯基、卡卡、360安全卫士等网站都被指向了127.0.0.1。修改hosts文件后不能保存,而且不能删除,用IceSword删除后,过一会又生成了一个一样的hosts文件。此时真的比较生气了,发誓要干掉它。
1.用Autoruns查看启动信息,并无觉异常。(其实是我忽略了)
2.用360safe找到acpidisk驱动的殘留信息注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ACPIDISK]用IceSword删除(用Regedit进入注册表无法删除)。
3.用IceSword强制删除hosts文件,并马上升级360Safe安全卫士,升级完成后,再一次扫描发现acpidisk驱动殘留信息没用了,却发现了另一个恶意插件My123,用360安全卫士清理成功。
4.查看360安全卫士的历吏记录,360安装目录下的360.log发现了如下记录。
后记:其实本以为是acpidisk的殘留信息修改了主页信息和hosts文件,没想到真正的罪魁是另有其人。后来仔细回想一下清理该恶意软件过程。其实我早在用AutoRuns查看启动信息的时候就已经发现了rdpclip.exe这个文件在启动项中,但隐约记得这个文件是终端服务相关的一个工具,而我一直都有在用终端服务,所以就忽略它了。唉!怪我疏忽,也感叹病毒的隐藏性越来越强了。
惭愧,杀了My123之后问题并没解决,第二天来首页还是被修改了,host文件也被修改了郁闷了,到底恶意软件隐藏在哪里?启动项里是没有问题了,肯定是加载成了服务,并且是注入到了一个系统并不重要的服务,所以我一直没查出来,经过仔细观察,最后发现一个IntelPDS非常可疑,于是结束其进程,再停止并禁用服务,删除C:\WINDOWS\system32\cba\pds.exe文件,删除注册表项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Intel PDS]。再修改回IE主页和Hosts文件。这次是彻底OK了!
