【中招经过】
-----寻找资源的时候下载了一个名为pl.exe的文件,看名字就感觉它有问题,运行后机器没有任何反应,只是在重新开机后噩梦就来临了。

==========================超级鄙视病毒制造者==============================

【中毒状态】
-----开机后,系统弹出网页——控制鼠标指针自动点击所弹出窗口的某些链接——这些链接带到google搜索结果。关闭后半分钟左右重复。
-----弹出窗口中鼠标点击的链接是GOOGLE广告,病毒通过弹出网页同时控制用户鼠标进行广告点击,我猜测此病毒是为制造者谋取google adsense收益。也有报告说是盗取用户各个帐号……
-----我使用的安全工具是卡巴斯基和安全360卫士。运行p1.exe后这两个工具都没有报警,分别使用他们在安全模式和正常模式下全盘扫描,未能扫描到非正常程序。
------使用windows清理助手进行扫描,查找到木马,木马路径为
C:\DOCUMENTS AND SETTINGS\林殇\LOCAL SETTINGS\TEMP\E_4\TEGEX.FNE
清除后下此开机此木马会自动修复。多次重复杀毒过程未果。

============发誓要干掉这个家伙,在倒腾了N多后整个世界终于清净了============

【解决方案】
1.开机后不运行其他程序,在任务管理器里面结束gajkonline.exe进程(若没有此项,结束所有可疑进程)

2.使用windows清理助手查杀病毒或者手动删除以下文件
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe

(此病毒有很多版本,请在删除E_4文件夹后,在%Program Files%\Common Files\下删除所有可疑.exe文件,我推测这里的文件是木马的安装文件,仅仅删除木马所在的E_4目录后,木马会在下次开机后使用安装文件进行自我修复)

3.清除木马的自启动
打开注册表(WIN+R打开运行,输入regedit即可),定位到
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除右面视图中的run项

4.给你一个清净的世界。

==========================超级鄙视病毒制造者==============================

【杀毒后记】
1.下载东西还是要到大型的可信赖的网站。
2.一般的程序等文件命名都是有一定意义的,类似pl.exe的命名除非程序声明大都是危险程序,执行前务必小心。
3.卡巴斯基不是万能的。
4.深刻鄙视这个网址http://www.52xunlei.net/pl.exe

Extra Info
This entry comes from 本站原创.It has been read for 11372 times.You may Leave a comment or 引用(0) this entry.
8 Responses
qq
2007/11/23 09:30
太感谢了,帮我解决了问题. 一起鄙视这个网址http://www.52xunlei.net/pl.exe  让它声名狼藉
-----不客气,还望继续关注解析几何
林殇 回复于 2007/11/23 11:35
ss
2007/11/21 09:29
不错,帮我解决了问题
-----还望继续关注解析几何,谢谢
林殇 回复于 2007/11/21 16:41
2007/09/26 17:39
林殇 replied on 2007/09/25 17:58
-----你的嫉妒心理又在作祟了……

切,笑话,难道我嫉妒你中毒吗?qie
-----那可说不好,病毒都不愿意找你
林殇 回复于 2007/10/06 23:03
lee Homepage
2007/09/25 08:34
haha中秋快乐
-----哈哈,一起快乐!
林殇 回复于 2007/09/25 17:57
2007/09/24 13:02
看来以前做坏事的后果开始一一显现了,这只是一个开始,以后会越来越厉害的,你完了dyi
-----你的嫉妒心理又在作祟了……
林殇 回复于 2007/09/25 17:58
2007/09/22 22:13
这中无畏的牺牲还是不要了
不过如果让我启动到 冰封系统
 呵呵 测试一下这个病毒还是没问题的!!
-----这个东西偶还是没有使用过,应该是类似还原卡的效果吧……
-----PS:你博客丢失数据了?
最后编辑: 林殇 编辑于 2007/09/22 23:38
林殇 回复于 2007/09/22 23:31
2007/09/21 22:34
呵呵
www.52xunlei.net/pl.exe
这个是不是可执行文件啊!!
我是裸奔中哦 什么也没有
-----恩,就是这个家伙,有勇气的话可以试试喽,哈哈。
-----其实我干掉他后为了写这个日志倒是想重新运行下的……
林殇 回复于 2007/09/22 17:42
鬼火
2007/09/21 22:22
感觉有问题还运行,只能说你太强了
-----因为找东西比较着急啦,我以为它顶多也就是捆绑了N多常见流氓软件,没相到是这样新颖的一个病毒……
林殇 回复于 2007/09/22 17:40
分页: 1/1 第一页 1 最后页
发表评论
昵称

网址

电邮

打开HTML 打开UBB 表情 打开表情 隐藏 记住我 [注册]