win7系统中某一病毒文件的查找与删除

很久以来,win7系统里没有安装杀毒软件,而且UAC账户控制中的安全级别设置为最低,就是为了图方便。前几天为了下载试用一款清除office文档密码的软件(从新浪微盘下载)时,不幸中毒。软件包名字与那款软件名字相同,然而内容却是木马病毒。点击exe文件后,一阵静默,没有弹出任何窗口,我愣了几秒钟,一拍桌子:艹,中毒了!
这时候我连病毒是什么名字都不知道,冷静下来后开始看看我能做些什么。
  • 先把.exe后缀改成.rar后解压缩,看看exe文件里面能不能找到什么东西。不孚所望,解压后发现里面木马的安装包了,有Vvisit.exe,还有firefox的安装包,还有一个.bat的批处理文件。
  • 我用everything查找Vvisit.exe在电脑中的位置,试着删除了一下,果然删除不掉。
  • 上网搜了Vvisit.exe,这个木马由来已久,通过安装木马程序,通过后门控制电脑的浏览器去访问特定网址来刷流量或者刷评价(如果这样,淘宝的评价或者是google的自然排名都有可能是有问题的),此时导致CPU达到100%占用率,电脑异常卡。有人反映杀毒软件也不好使,于是我决定采用最原始的方法删除病毒。
  • 好在有人已提供了删除的方法。重启电脑,进入无网络的安全模式,进入路径后删除,于是OK。
过了三四天,我正在用电脑时,电脑突然非常卡,一看任务管理器,CPU负荷已经100%。查看进程,原来有三个plugin.exe的进程。强制关闭任何一个后,又立即重启。看来木马并没有彻底删除。

定位到程序所在文件夹,为C:\ProgramData\65ad47d7-2e27-4a5c-b238-26643fdaeb98,里面有plugincontainer.exe及plugin的文件夹,强制删除不成功。重启电脑进入无网络的安全模式后,成功删除。后来用电脑就不卡了。

可是我不放心,过了一会儿重新查看进程,发现plugin.exe的进程又出现了!好在木马还未运行,CPU速度还比较正常。于是百度、google之。但是很多都是讲其他的病毒,并不能找到和我一样的情况。在快要放弃、准备重装系统的时候,突然想起可以用那个奇怪的文件夹名来搜索,找到了!有一个人刚好遇到类似的情况,一句话点明解决方案:删除C:\Program Files (x86)\Common Files \65ad47d7-2e27-4a5c-b238-26643fdaeb98文件夹里的updater.exe程序。

直接删除仍然是拒绝访问,但是提示了该程序被service mgr outrageousdeal 服务占用。于是停掉这个服务,取消其自动启用的属性。再次删除,仍然拒绝访问,提示被update mgr outrageousdeal 服务占用。同样处理,最后成功删除updated.exe文件。

然后在控制面板中查看是否被安装了奇怪的软件,发现一个软件是outrageous deal,名字太像了,而我根本没有印象,果断删除。重启电脑,删除C:\ProgramData\65ad47d7-2e27-4a5c-b238-26643fdaeb98文件夹。

目前暂未发现异常,应该已经清除完全了吧。

后记:

这是第一次体会到手动查毒、杀毒的全过程,一波三折,柳暗花明。大概体会到了病毒文件和杀毒软件的原理~

病毒的原理就是修改电脑的权限、修改电脑的文件、后台接收或发送数据,这样一想,以前觉得高深莫测的电脑病毒就具象为一类程序文件了。

杀毒软件工作的原理是,建立强大的病毒数据库,储存病毒文件的MD5或者SHA1值(据此几乎可以唯一确定一个文件,在复制或移动的操作中不会变化),这样在扫描电脑本地的文件时如果发现某个文件的MD5值或SHA1值和数据库中的一致,就识别为病毒。
如果要人工识别病毒文件,主要是查看进程、网络或者服务中的异常,据此定位到可疑文件。
如果要删除病毒文件,一般不能直接删除。可以尝试取得管理员权限,然后停掉其对应的服务或者进程,解决掉其“保护伞”,然后再删除文件。
END
0 评论
留言