因为家属误操作,造成电脑上一下子染了数以百计的spyware和adware。通过查看各种log文件发现,这一切都发生上半小时以内。
我先是手动删除了一些,然后用一些anti spy的工具,干掉了几百个。有的工具只显示错误信息,如果要自动修复必须付钱。我就按照错误信息,手动去除那些adware。直到那些工具都不报错为止(有的报错,是hosts文件里的,但无力修复)。
我发现老一套(服务,注册表里的Run等)已经难以应付了。有一个进程总是在改写我的hosts文件。我改过去它又改回来。我把它改为“只读”也不行。到安全模式下,我先修改,然后改为只读,再把system和管理员对那个文件的修改属性和写入权限等都禁用(但没有禁用修改权限的权限,这样就无法恢复了)。再回到正常模式,就看到一个dll的出错信息。(但也不知是因为那个步骤,winlogon.exe在启动的时候报错,那个窗口只有在启动和关机等情况下才会看到)
这个出错的dll其实是病毒临时创建的。每次名字都不一样。但到注册表里总会找到HKEY_CLASSES_ROOT\CLSID\{F6BC2AAD-39C7-4129-9D25-0A2612FDECC0},这个COM class是那个dll提供的。
这个COM class也在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved里面。tnnd微软。在这里,每次explorer(或者其他shell如果shell不是explorer?)启动的时候,都要装载那些类的提供者(dll或者exe),甚至是安全模式下。
我删除那个值,但是一个进程马上就写入。我发现那个进程是explorer,就杀掉。这样的话,再次启动,注册表中,那个值就没有了。可是还是有那个dll的出错信息(因为它改不了hosts)。我的线索到这里就断了。那个病毒还有别的办法自动加载,然后创建那个dll,然后rundll32,运行那个dll,然后可能退出。但是我实在找不到那个病毒躲在哪里。active ports显示并没有什么异常。也许这个病毒不再正常工作了。但是我的winlogon还是出错(我的机器设成自动logon的)。所以我就重新安装了。
我用的是2000中文版。曾经看见一个大蜜蜂蹦出来,嗡嗡作响,说你的电脑中毒了。那个界面很花。
结论:
1。现在的spyware水平更高了,老三招不大管用了。
2。norton anti-virus2002 with 前两天刚更新的病毒列表,一直在那里,这起事件再次证明它们都是垃圾。
可能还是ghost好,出了问题,就退回去。