笔者的爱机装的是 Win XP 和 Norton
2002 中文版杀毒软件。近来网上病毒猖獗,笔者虽然没有被冲击波“冲击”,但是却被木马撞了一下“腰”。
一、惊现木马
那天笔者下网后在打开一个纯文本文件的时候, Norton
突然报告发现病毒,拒绝访问该文件(图 1 )。纯文本文件里怎么会有病毒 ? 带毒的程序竟是 E : WinNTSystem32
oteped.exe 。
图 1
二、分析
“ PWSteal.Trojan ”看名字应该是一个木马,它居然能强行将 TXT
文件的打开方式与 noteped.exe 关联。右键单击任一文本文件打开属性窗口,从这里我们就可以清晰看到文件的打开方式已经变成了“
noteped ”,但只要 Norton 没有关闭,这类文件就无法打开。 noteped.exe 不就是记事本吗 ?
打开 E:WinNTSystem32
目录,赫然发现 notepad.exe 、 noteped.exe 两个程序并列在一起(图 2
),细看后才发觉它们有一字之差。于是笔者立刻将病毒库升级到最新,并对电脑进行一次全面的查毒,结果在 E :
WinNTSystem32 目录下还发现了三个病毒文件( Outlook.exe 、 Winet.exe 、
Explorer.exe )。
图 2
三、解决办法
用 Norton
查杀该木马时,提示无法删除或隔离它们,看来只有靠自己了。为了看看木马还有没有漏网的同伙,笔者以木马创建日期( 2000.01.01
)、文件大小( 147KB )为条件在电脑中又 “ 搜索 ” 了一遍,结果还是只有四个染毒文件。
进入 E : WinNTSystem32 找到这四个文件,立刻对它们实施 “ 极刑
” ,不过系统提示 “explorer.exe 文件正在使用无法删除 ” ,于是笔者按下 “Ctrl+Alt+Del“
打开任务管理器,查看进程竟然看到了两个 explorer 的进程(图 3 ),其中肯定有一个是木马进程。它的进程路径应该为 E :
WinNTSystem32explorer.exe ,而真正的桌面的进程路径为 E : WinNTexplorer.exe
。结束木马进程,顺利删除 explorer.exe. 。
图 3
重启机器后,木马的四个 “ 同伙 ”
居然又回来了。另外还有一个奇怪的现象就是,如果将木马的 “ 同伙 ” 放入回收站,这时只要选中被删除的 noteped.exe
,就会发现硬盘灯在狂闪而且还原功能项会在 “ 还原此项目 ” 和 “ 还原所有项目 ” 之间切换(图 4
)。哎!这可把笔者这菜鸟难住了﹖经过一番试验才终于找到一个好方法,既然 noteped.exe 一定要关联 TXT
文件,干脆把记事本程序和 noteped.exe 互换,并把 notepad.exe
(其实已是木马程序)删除,这样就应该可以顺利打开文件了。于是本菜鸟立刻把记事本程序复制后依次改名为 Outlook.exe 、
Winetexe 、 Explorer.exe 并替换四个染毒文件。
图 4
机器是修好了,但每次开机会运行 4 个记事本程序( E :
WinNTSystem32explorer.exe ,实为 notepad.exe )。
注意:用作替换的源程序最好是诸如记事本、画图等复制到任一文件夹都可以运行的小程序。
因为木马并没有被彻底查杀,经过 “ 大虾 ”
的分析:木马进程在开机时就被自动加载,所以无法直接删除它们。只有切断木马的自启动功能才能彻底查杀,很显然 E
WinNTSystem32explorer.exe 这个就是木马的自启动进程,运行注册表编辑器依次展开
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload]
,大家可以看到如图 5 信息,把它删除,重启电脑后木马即被彻底杀除。
图 5
四、恢复文件关联
由于 noteped.exe 被删除, TXT
文件没有了应用程序关联,下面笔者就来进行恢复操作。打开 “ 我的电脑 → 工具 → 文件夹选项 → 文件类型 如果没有 TXT
文件 → 新建 → 新建扩展名 → 输入 ‘txt'→ 确定 → 选中 txt 扩展名 → 更改 → 从列表中选择程序 → 记事本
→ 确定 ” 即可(如果列表中没有显示记事本,可浏览选中 E WinNT otepad.exe )。
上一篇: 无
下一篇: 完
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
