我的系统终于恢复了~

更新,刚发现Google提供对流氓网站的封锁支持,非常感动!

23:57更新 – 终于完全搞定,我果然老了,花了一天时间搞这个……好在没有重装系统。

说说与这次中毒具体相关的情况吧(流水帐形式):

  1. U盘是万恶之源:我昨天使用朋友的U盘时,提示了一个Windows内部错误之类的东西(具体记不清楚了,但我记得对话框的标题是”No Disk”),然后系统中产生了N多奇怪进程,如:IEXPL0RER.EXE(模仿IE的进程,把字母”O”换成阿拉伯数字零”0″)
  2. 我第一反应是,重启进入安全模式。结果关机剧慢,几乎花了半个小时才关机
  3. 开机进入安全模式,一切似乎正常,查msconfig启动项,删除(我都是在DOS下用copy con直接覆盖病毒文件删除的,我以为这样就Okay了)嫌疑文件,删除启动进程,再次重新启动
  4. 重启后看似无事,准备打开Apache干正事了。刚输入”net start apache2″,提示一个服务器不应答的错误(Error 1053, The server did not respond….)。进入KISS(Kiwi Internet Server Suite)目录,连uninstall都无效。
  5. 与此同时,系统进程中注入大量的exe文件进程,各种稀奇古怪的名字,一看就知道有问题。我现在记不起来了,去查我的搜索记录,大概是ippro.exe、upxdnd.exe、Kvsc3.exe、mppds.exe、temp1.exe、temp2.exe……这样的名字。同时发现许多同名的DLL文件。
  6. 进入安全模式查杀,重启,文件依然存在……
  7. 一个上午过去了,毫无进展
  8. 考虑重装系统,发现一来我的WinXPEnSP2的ISO落在家里了,而公司也正好没有可以刻录的光盘……
  9. 只能上Google、上百度,搜索……其实我这时已经基本绝望了。毕竟我在Windows系统内部方面懂得太少,现在的流氓软件,招式太狠:(
  10. 偶然启动了Apache一次。非常奇怪。但是这一次的启动让我找到了问题的突破口,且听我慢慢道来。
  11. 我在本机调试服务器,有一个Server叫做localhost2,我启动Apache成功,但进入这个URL却提示错误。仔细检查了HTTPD和VHOST设置,发现都没有任何问题。
  12. 目标锁定:HOST文件
  13. 打开HOST文件,天哪……面目全非了。把几十个域名指向到我的127.0.0.1,而localhost本身没有改变(看来我不用”localhost”调试是明智的-。-)
  14. 思考:为什么病毒要把host改掉呢?我甚至曾经写过一篇日志通过改host来避免一时无法删除的流氓网站的劫持。这个病毒为什么要把这一堆网址屏蔽呢。换个角度思考,这一些网址之中必然有”制服”病毒的资源!
  15. Okay,继续搜索,这次用的是百度,还行。(看来Google爬中文页面的速度还是稍微满一点儿)
  16. 找到一个”费尔木马强力清除助手“(官方下载地址在http://www.filseclab.com),发现提供这个软件的网站就在host列表中。(对知道host的人来说,这一招确实没啥用,但是对于不懂host的普通网友,这一招可真直爽:直接让你无法下载相关的杀毒软件……)
  17. 用这个清除助手”点杀”病毒。重启了两次,终于搞定了。这个”费尔木马强力清除助手“的杀毒能力确实厉害。
  18. 欢呼之前,发现Apache和MySQL彻底挂掉:(
  19. 服务无法卸载,也无法运行,折腾了N久。
  20. 百般无奈下,重新下载了一份KISS(其实我没有报什么希望)。惊讶地发现新KISS包中httpd.exe文件是21k,而我的KISS是32k,这说明httpd.exe被改了……(寒,病毒改这个干吗……)
  21. 备份php.ini、httpd.conf、httpd-vhost.conf重新覆盖KISS,反安装(uninstall)Apache和MySQL服务。再安装之。
  22. 世界清净了!

中毒总结:

Continue reading “我的系统终于恢复了~”