舍友这几天想着在网上赚钱,各类赚钱代理软件也试过不少,今天又试了一个新的,结果安装到一半,McAfee(Enterprice Edition 8.0i)报了警报,发现了这个病毒,安装就被终止了(因为他嫌麻烦,安全级别设置得相对低)。
问题来了,接着他上QQ、浏览网页时无端弹出了30多个窗口(这是他的描述)。我没留意现象,强制关机后就进到了安全模式。我还以为顶多是几个流氓软件,用兔子一看,确实,主和非主流的十多个流氓软件装上了。绝大多数非常顺利的用兔子清除了,剩下一两个反复清除不掉的,用Hijackthis稍微分析一下,只要用任务管理器终止掉正在运行的进程、删除在文件夹中的“备份”文件后,也能很顺利的清除干净。也有个别有特点的恶意软件(是否应该尊称为“病毒”),修改了autorun.inf,使其每次访问某个硬盘分区(如d区)时,都会执行%sysroot%\pagefile.pif项目。删了就好。
如果仅仅是恶意软件还不怎么样,问题的严重性是我看了咖啡按访问扫描的日志才发现的,其中竟然发现了300多个病毒文件(本该图文并茂才能说明问题,可惜忙着对付病毒,没截图)。从分布上看,几乎每个文件夹都染上了,而且都是文件名形式都为*_desktop.ini,咖啡报的病毒类型为Philis,可以从这里了解到更详细的信息,对清除病毒是非常有帮助的:
http://cn.mcafee.com/virusInfo/default.asp?id=description&virus_k=140673 按找网页上的提示,将下列文件清除掉:rundl132.exe W32/HLLP.Philis.dll, 再把注册表中相应的自动运行项删除,大问题算是基本解决了。后来体力活就留给杀毒软件了,在安全模式下彻底扫一遍,查出的病毒文件数有500多个,真不少。
从列表上看,这个病毒的目标还是非常明确的,应该是国产的,最终目的是盗号木马打开后门。需要注意,被这个病毒感染后,QQ登录框的“键盘保护”(是这样叫得吧?)功能就失效了,建议彻底查杀病毒后重装QQ。从咖啡网站的报告上看,和以往一样(请原谅我做出的武断的结论),金山毒霸的服务又成功地被病毒终止了。