QQ木馬病毒解決方法教程
電腦病毒看不見,卻無處不在,有時防護措施不夠或者不當操作都會導致病毒入侵。前幾天,同學在QQ上收到一個人傳來的文件(見圖1),十分欣喜地打開,結果什么都沒有,然后就發現自己也在不停地給人傳文件,于是找我幫忙清除。其查殺過程一波三折,現成此文,以供大家參閱。
案例分析
1.輕松搞定偽裝品
先刪除了他接收到的文件,然后用進程查看軟件TroyanFindInfo(下載地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系統中所有進程。很快發現了一個很奇怪的進程(見圖2),雖然名稱是RUNDLL32.EXE,但其他的諸如版本、產品名、說明都和微軟的RUNDLL32.EXE不同。
另外,該文件保存在System目錄下,而同學的系統是Windows 2000,系統自帶的RUNDLL32.EXE應該保存在System32的文件夾中。基于以上的判斷,初步斷定該進程為木馬進程,于是就用TroyanFindInfo中的“Edit→Kill process”(編輯→結束進程)關閉掉該進程。同時把C:\WINNT\System\目錄下的木馬原文件也刪除。最后在注冊表中查找所有的開機自啟動項目,找到和剛才刪除的RUNDLL32.EXE有關的鍵值即可。
小提示
★進程查看軟件很多,比如以前介紹過的IceSword,本文介紹的TroyanFindInfo等。我個人喜歡用TroyanFindInfo,因為它比較小巧,信息也比較全面,實用。當你自己不能判斷出進程文件時,還可以點擊“Save”(保存)按鈕,保存好LOG文件,然后傳給高手,讓他幫忙分析。
★以前大多數QQ病毒都是通過發送病毒網站地址來傳播的,現在也有不少通過QQ直接發送病毒文件,比如,使用圖片圖標的EXE文件,大家在接收來自好友或陌生人的消息及文件時一定要提高警惕,最好先詢問一下對方是否發過該信息或文件,以免無畏中招。
★開機自啟動在注冊表里的具體位置可以參見本刊2005年第1期的《中毒后遺癥,妙手來清除》。
2.清除病毒的“幕后黑手”
本來以為是一個Easy Case,可剛回到家,同學就打來電話說好像木馬沒清除干凈。過去一看,果然又出現了原來的狀況。按照剛才介紹的方法先行處理過后,再回想一下整個操作,推斷出可能木馬把自己的分身隱藏到了系統的某個角落。
于是打開“我的電腦”,在菜單欄上點擊“工具→文件夾選項”,在彈出的“查看”選項卡里將“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”兩項的勾選去除,再選中“隱藏文件和文件夾”里的“顯示所有文件和文件夾”(見圖3)。
進入系統目錄里,仔細看了一下WINNT、System、System32的目錄,果然不出所料,發現了“?.exe”和“notepad?.exe”兩個特殊的文件,根據剛才查殺System目錄下RUNDLL32.EXE的經驗,這些文件既不是系統自帶的程序,文件的屬性又和剛才刪除的RUNDLL32.EXE屬性類似,可以推斷出這些文件就是木馬文件,自然將其刪除。最后,再去注冊表,檢查一下所有的啟動項目。
小提示
★系統自帶程序都有各自特定位置和圖標,比如開始要刪除的“RUNDLL32.EXE”,如果是系統自帶程序,那在Windows 2000/XP中保存在系統目錄里的System32文件夾里。
★類似于“ .exe”和“notepad?.exe”這類的木馬文件的命名抓住了人們心理上的弱點,對相似東西會忽略掉。如果隱藏了擴展名,本例中的這兩個文件粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數字來代替,達到混淆的目的,比如“I”(大寫I)、“l”(小寫L)、“1”(數字1)或者是“O”(字母O)“0”(數字0)就很容易拿來混淆。
3.最終善后
好事多磨,當我正暗自得意時,突然發現所有應用程序都無法使用,還彈出如圖4所示提示,于是繼續解決問題:到Window的系統目錄里把“Regedit.exe”的擴展名改為COM,不理會警告再運行,即可打開“注冊表編輯器”,然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]將“默認”鍵值改回“%1 %*”。再以“?”和“notepad?”為關鍵詞進行搜索,結果又發現注冊表的一處鍵值,即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad? %1”,修改回默認的“NOTEPAD.EXE %1”即可。
最后,為了保險起見,再用安裝的殺毒軟件對系統進行了全面的查毒,發現QQ目錄中的“TIMPlatform.exe”也是木馬,去QQ的目錄里一看,發現還有一個文件“TIMP1atform.exe”,經過查看屬性,查毒,確認它是被木馬改名的原“TIMPlatform.exe”文件,改回后,一切正常。
相關閱讀:2018網絡安全事件:
一、英特爾處理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞,包括AMD、ARM、英特爾系統和處理器在內,幾乎近20年發售的所有設備都受到影響,受影響的設備包括手機、電腦、服務器以及云計算產品。這些漏洞允許惡意程序從其它程序的內存空間中竊取信息,這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內存中的信息均可能因此外泄。
二、GitHub 遭遇大規模 Memcached DDoS 攻擊
2018年2月,知名代碼托管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊,流量峰值高達1.35 Tbps。然而,事情才過去五天,DDoS攻擊再次刷新紀錄,美國一家服務提供商遭遇DDoS 攻擊的峰值創新高,達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 服務器進行攻擊。網絡安全公司 Cloudflare 的研究人員發現,截止2018年2月底,中國有2.5萬 Memcached 服務器暴露在網上 。
三、蘋果 iOS iBoot源碼泄露
2018年2月,開源代碼分享網站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統的核心組件源碼,泄露的代碼屬于 iOS 安全系統的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統。此次 iBoot 源碼泄露可能讓數以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示,這是 iOS 歷史上最嚴重的一次泄漏事件。
四、韓國平昌冬季奧運會遭遇黑客攻擊
2018年2月,韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊,此次攻擊造成網絡中斷,廣播系統(觀眾不能正常觀看直播)和奧運會官網均無法正常運作,許多觀眾無法打印開幕式門票,最終未能正常入場。
五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓
2018年2月中旬,工業網絡安全企業 Radiflow 公司表示,發現四臺接入歐洲廢水處理設施運營技術網絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU,致歐洲廢水處理服務器癱瘓 。
Radiflow 公司稱,此次事故是加密貨幣惡意軟件首次對關鍵基礎設施運營商的運營技術網絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備,之所以導致廢水處理系統癱瘓,是因為這種惡意軟件會嚴重降低 HMI 的運行速度。
QQ木馬病毒解決方法教程相關文章: