13
2008
10

杀毒记-DNS被锁定等

由于Cryptainer LE版在VISTA下无法正常关闭,昨晚找到另一个文件加密软件Folder Lock 6 。这是个收费软件,又搜了个注册机,下载后用Mcafee扫描未发现病毒,双击执行,居然没反应,重启后弹出AtBroker.exe错误。

2008-10-13_042310

其实自己也觉得不妙,在重启之前还特地打开了360开启保护功能,弹出的一堆启动项中有个c://windows/temp/9.tmp,因为之前装了几个其他软件要求重启,而且对MCEFEE比较信任,所以心存侥幸放了它一马,结果不幸中招。

下面是其他症状:

1.DNS服务器地址被锁定,修改后又变回去85.255.112.141;85.255.112.114,导致正常启动后无法上网找解决办法;

dns

2.桌面多了三个快捷方式,一看名字就知道是垃圾网站;

3.系统速度变慢;

4.打开文件夹会弹出一个只有“是”和“否”按钮的对话框;

5.今天杀完毒后发现了邮箱里有封来自hacker的邮件,内容如下:

Pwnd by Private Hackers :D
Fucking your security

6.。。。

------

你姥姥的,太嚣张了,看我怎么灭了这该死的病毒。

(1)中毒后的第一次尝试

用360和mcafee一通扫,发现每个盘符下面都有:

1.autorun.inf

2.recycled/boot.exe

连同c://windows/temp/9.tmp全部删除,同时去掉启动项的9.tmp,重启还是中毒状。困的不行决定明天再收拾它。

注:360会把联想预装的SERVICEV003里的autorun.inf也删除。

(2)决战

早上开机进入带网络的安全模式,VPN好像不好使,就用代理上网查。网上有类似症状,网友推荐用sreng和XDelBox配合杀毒,按此指导,发现了如下病毒文件:

1. kdfsx.exe(经http://www.virustotal.com/zh-cn/扫描含病毒,VirusTotal 是一款可疑文件分析服务, 通过各种知名反病毒引擎, 对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染.)

2. c://windows/system32/aetsprov.dll

3.c://windows/system32/ae*.dll (*表示当时没作记录的文件,识别特征是和aetsprov.exe 有相同的公司属性,大致是A.E.T. Europe B.V LTD) 

注:aetsprov.dll等文件是工行捷德U盾的驱动

删除后恢复正常,再用卡巴斯基全面扫了一遍没发现什么病毒。

后来换了卡巴斯基2009全功能版,重新下载了嫌疑文件,果然报毒:

image

另外发现Folder Lock 6 在我的VISTA下无法卸载,最后用windows优化大师的智能卸载干掉,lj,决定换TrueCrypt

folderlock

=======

杀毒过程中错杀了:

c:\program files\nos\bin\getplus_helpersvc.exe

getplus_helpersvc.exe作用是:

Adobe downloader used to download updates for Adobe applications.

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。