|
|
刚打开一个网页(3dportal), zonealarm开始报警, 然后多了一系列垃圾线程.
出现一堆垃圾文件, zonealarm只是警告无法杀除. 只好手动.
运行regedit无反应, 估计被病毒给屏蔽了.
系统线程除了一堆明显的病毒外, 有一个sovhst.exe, 估计是想让用户以为是svchost.xian
google了一下无法删除的dll和exe文件, 发现主要是hbservice木马.
1)找到regedit.exe, 改名为regeditnew.exe, 打开注册表.
2)运行autoruns, 查看所有开机运行的项目(程序, services, 驱动等). 重点是来源于不明厂商的项目, 一一对照注册表删除. 同时, 也可记下程序位置, 手动或让杀毒程序删除. 有同学认为可以进入安去模式删除. 可以去掉一些染毒文件, 但无法根除.
3)重起, 运行zonealarm的scan程序, 清除残渣.
4)查找zonealarm的记录, 发现试图收取我机器信息的sb的ip是在山东潍坊, 域名qqq919.cn.
查whois.net, 看看相关信息
WHOIS information for: Qqq919.cn:
[whois.cnnic.net.cn]
Domain Name: qqq919.cn
ROID: 20080923s10001s57894764-cn
Domain Status: ok
Registrant Organization: 陈刚
Registrant Name: 林大海
Administrative Email: [email protected]
Sponsoring Registrar: 厦门å |
评分
-
查看全部评分
|
狗仔卡
发表于 2008-10-28 11:32:46
提升卡
置顶卡
变色卡
恢复卡