|
[病毒查杀] [转帖]Ygolbhmb.dl1 病毒 Ygolbhmb后门(rootkit)清除记
今天上网的时候mcafee一直弹出ygolbhmb.dl1病毒。在个人帐号里的temp目录。应该是自动下载或是自动生成到那里的。一下载就被mcafee杀掉。于是我想看看是什么木马,就把mcafee停掉了。再看那个temp里还是没有这个文件。我就想那个同名的文件然后去掉所有用户的权限,这个木马就没有什么作为了吧。呵。结果一改名就消失了。。再建同名的文件告诉我文件已经存在,在任何目录建这个名字的文件都会消失。偶就明白了。原来是中了rootkit。汗。就一天没开防火墙就能中个病毒,也真够郁闷的。于是下载了一个knlps去查杀隐藏进程。。。结果一看24个隐藏进程,而且还看不到文件名。。只看的到id,不过好多是重复的。于是杀了一个,没反映,再杀一个,把我的命令行窗口给关掉了。我再杀。。结果win2k3一下就重启了。我这个郁闷啊。
重启之后偶在百度和google搜了一下,结果一条关于这个的也找不到。呵,可能是新玩意吧。也许是偶见识少。regedit进入注册表,搜索,搜不到,服务和启动里也看不到异常的东东。。。小样,藏的还真够深的。既然这样就进命令行的安全模式吧。为什么要用命令行的呢,因为这个启动的东西最少喽。呵。
重启按f8选择进入命令行安全模式,进入后是一个命令行的窗口。运行 start explorer.exe打开资源管理器。运行里输入regedit,输入ygolbhmb查找,出来了吧。把所有这个名字的键全部删除,有2个键删不掉,不管,把他下面的子键的内容和该键的内容都删掉就成了,一共好几个,到底几个偶了没数,然后就是清除后门文件喽。在c盘按ctrl+f打开搜索,输入ygolbhmb查到了三个文件。ygolbhmb.dl1 ygolbhmb.d1l ygolbhmb.dll,dll这个文件在drivers目录下,靠哪,还真的想不到会在这儿。。三个交叉恢复,只删一个是删不了的。我删删删,嗯,删掉了一个,怎么还有2个删不掉,靠。删不掉啊删不掉,右键属性,删除所有用户的访问权限。确定。建个管理员帐号重启。net user if loveif /add;net localgroup administrators /add if ^*^
重启好用新建的帐号进去。把那2个删不掉的文件给if这个帐号赋权。然后就可以删除了。^*^嘻嘻,tnnd,偶总算把这玩意给删除了。再建个同名的文件试试。嗯文件还在,好了,木马算是清除掉了。但是不知道是在哪个网站中的,哈。算了不理它了,以后小心点喽,没了没了,不用看了。完了。by:ifriend |
|