科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道一波三折 神秘“特络伊木马”查杀记

一波三折 神秘“特络伊木马”查杀记

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 前两天在家上网,我发现突然出现一个问题:其实开的窗口并不多,但是点击链接打开新网页的时候,机器很慢,有死机的征兆,鼠标虽然能动,但是无法点击任何图标,也无法关闭窗口。

来源:论坛整理 2008年6月28日

关键字: 病毒查杀 病毒 木马

  • 评论
  • 分享微博
  • 分享邮件
 前两天在家上网,我发现突然出现一个问题:其实开的窗口并不多,但是点击链接打开新网页的时候,机器很慢,有死机的征兆,鼠标虽然能动,但是无法点击任何图标,也无法关闭窗口。我很奇怪,因为我的电脑虽然老点儿,但是好歹也是奔四1.6GHz+256M DDR内存的机器,怎么上网会出现这种情况呢?

  我心里一沉,看来估计是中毒了。由于是WinXP的操作系统,所以我按住Alt+Ctrl+Del三个键,调出了任务管理器。在进程栏里面,我看到了两个可疑的进程,它们的映像名称分别是mshta.exe和ftp.exe,我一看后面的用户名写着zhizhizhai,这是我取的管理员的名字。这么说来,虽然我没有打开过这两个应用程序,但是很可能这就是病毒发作的表现。我尝试着结束这两个进程,但是都没有反应,它们还是摆在那里一动都不动。我心里更加紧张了,看来遇到难缠的病毒了。我点了任务管理器的注销和重启,但是也都没有任何反应,看了是什么都做不了了,我绝望地按了电脑机箱的reset键,手动重启了。

 重启以后,好像没事了。我用带最新病毒库的金山毒霸6查杀病毒,没有发现任何结果。我想,可能没什么东西吧,这档子事儿也就搁下来没管了。

  今天,上网上着上着突然又发现了同样的问题。我打开任务管理器一看,果然又是那两个进程。以我的经验和那天查毒的结果看来,这是个新病毒。于是,我只有再一次重启。重启后,我打开百度搜索,分别输入mshta.exe和ftp.exe进行搜索,看了很多网上的文章以后我发现自己是长知识了,因为这两个exe文件是地地道道的系统文件,也就是说,它们绝非病毒,但是它们非常容易被病毒操纵。那么是谁在调用它们,在幕后操纵呢?我还是没有找到答案。就在我正看某一个网页的时候,发现鼠标又不能点击窗口了,机器又呈现出死机的状态。唉,又来了!我在心里狠狠地骂了一句脏话,并发誓要消灭这个害人的家伙!

  再次重启,这次我可是直奔金山毒霸6的升级,费了好一会功夫把我的金山毒霸6升到了金山毒霸2005,这可是金山毒霸杀毒引擎的最新版本,而且病毒库也是最新的了。我再点击“全面杀毒”,结果15分钟过去了,还是没有发现任何结果。我这可真叫一个郁闷,明明电脑中了毒,结果杀毒软件愣是没发现。金山毒霸在我心目中一向非常好用的,这次它的无能破坏了它在我心中的良好印象。

  怎么办?我想,从症状入手,可以猜测到这个病毒具有木马特征,因为每次出事的时候我都在上网(我上网要先打开虚拟拨号),而上网之前我用任务管理器看过了是没有那两个进程的,那么何不用用金山毒霸木马专杀工具?我打开木马专杀,又完整地查了一遍,没有发现木马,但是发现了一个可疑文件。我心里一阵狂喜,看来就是这小子了!根据木马专杀工具的显示,这个可疑文件位于C:\WINDOWS\system32目录下,名字叫sysapis.dll,这应该是一个动态链接库文件吧。我打开system32目录,没有找到,看来是隐藏了,真狡猾。我点“工具”,再点“文件夹选项”,再点“查看”,选择“显示所有文件和文件夹”,还是没有发现。可恶!我再去掉“隐藏受保护操作系统文件(推荐)”这一项前面的勾,点“确定”。这一次,哈哈,终于出来了。

  我一看它的属性,创建时间是2005年7月18日上午10:02,正是两天前出事的那个时间。我想,既然是系统文件,创建时间怎么会是两天前,我的系统可不是两天前才装的啊,再狡猾也露馅了吧。我按下Delete键,想“杀之而后快”,结果弹出提示“无法删除,请确保磁盘未写满或未被写保护”。唉,真是顽固的害人精!

  好吧,那我就进“安全模式”,再来杀你!为了方便再次找到它,我右击这家伙,在“属性”里去掉“隐藏”前面的勾,然后重启电脑,接着按F8进入提示菜单里,选择“安全模式”进入XP。再次在windows\system32下面找到它,我删,怎么还是删不掉!?我服了!连安全模式都不能删除,那我只能拿出最后的绝招了——进DOS删!

  我重启电脑,按Del键进入CMOS设置里,把启动顺序改成软驱第一启动,然后插入以前用Win98制作好的DOS启动盘,让电脑进入DOS系统。我很快便找到了这个sysapis.dll文件,毫不犹豫用del sysapis.dll命令删除之。这次,它没得反抗了。我再用dir命令查找了一遍,真的没了!

  然后重启电脑,把启动顺序改回来。重新进入XP系统,上网的状况一切恢复正常。谢天谢地,总算把这个木马消灭了。真不容易啊,为了杀这个混蛋,我重启了多少遍电脑啊!

  个人体会:杀掉这个木马,对于电脑高手来讲,可能不是一件难事,但是对于许多普通人或是菜鸟来讲,就不简单了。因为,这个木马伪装得非常巧妙,杀毒软件根本无法检测到它的病毒特征,就连木马专杀工具都无法确认其真正的木马身份。我装了金山网镖作为防火墙,可是还是没起到作用。到最后,还是得靠自己分析才找到它,并杀掉它。这次“剿匪记”的经历可谓一波三折,但是最终我还是胜利了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章