同事电脑上发现的,运行某个名为“*开房rmvb”的exe文件,然后在桌面、开始菜单、程序菜单、快速启动栏出现一大堆的URL快捷方式:淘宝网购物、淘宝皇冠大全、在线电影、美女视频、妹妹写真馆、两性私房话等,都指向一些恶意推广的网址(别指望真的有美女,不过是诱惑点击),在内存运行,每隔一定的时间就重新生成一次,以防止这些快捷方式和桌面图标被删除。
电脑上装的360安全卫士可以发现IE快捷方式被改,但修复仅限止删除IE快捷方式中添加的网址链接,而且对其它的URL快捷方式视而不见,系统修复与木马查杀都没有效果。只是在全面检查中发现IE的“链接”里被加入大量上面所说的网址链接,且这些链接的的快捷方式都在c:\windows\system32\下。这部分可先用360清理删除。
继续检查中发现进程表中出现一个wscript.exe进程,很明显这个病毒利用的是vbs脚本文件。首先停止wscript.exe进程(这是系统文件不要删除),这样桌面上就不再反复生成被篡改过的IE快捷方式。然后进入c:\windows\system32\,按创建时间排个序,就可以发现这些当时新加入的文件(如果你的电脑中毒已久,可能创建时间就不是当天的,可根据下面描述的特征操作),除了url文件(system32下一般不存在这种.url的文件),还有vbs(sla.vbs、bczla.vbs、bgzscr.vbs、btywa.vbs)、bat批处理文件(shwoa.bat、srxxa.bat、srtcb.bat)、reg注册表文件(szrft.reg、blrert.reg)、还有网页文件(svcsa.htm、bbcser.htm)、exe文件(say.exe,还有一个sty.exe是在c:\program files\中)等,这些都是我们要清理的(不限于以上文件名)。为避免误伤,可检查它们的创建时间与修改时间,一般这些恶意文件都是同时间创建或者修改的,或者文件名上都是随机组合的字母或数字,再慎重些就把它们打包备份后再删除原文件。
该病毒或木马先通过运行vbs脚本,删除桌面、快速启动栏中的正常的IE快捷方式,再把自己的恶意网址的快捷方式替换上去,指向一个钓鱼网站,同时修改注册表(导入上述reg文件),篡改启动项(假冒QQ的启动项),甚至篡改屏幕保护程序指向自己的一个scr文件以达到启动自己的目的。清除方法除按上面说的文件名和时间方法外,建议在删除reg、bat与vbs前,打开它们(右击-编辑,不要用双击,那是运行病毒),看看它们里面有包括哪引起文件名,一并删除(建议先备份)。最后再用杀毒软件或安全工具全盘扫描一遍并清除临时文件等。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/879.html
