CATEGORY / Software

被病毒修改并锁定了 DNS

Permanent Link: http://wutiam.net/notes/94

昨天为了给某人找 Source Insight 的 keygen,轻易运行了国外网站上下的一个 .exe (Symantec 未报有毒 @_@),结果发现不对劲,已然晚矣。。。初步检查系统,症状第一季:

  1. 启动项(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun)里多了一个 *.tmp 的文件,文件位于 C:WINDOWSTemp
  2. 系统开始变慢;

删掉这个文件及其启动项,重启,症状第二季:

  1. 依然慢;
  2. Outlook 无法登陆服务器;
  3. 公司员工入口网站无法打开(其他内外网均正常);
  4. 重新设置系统的登陆域(Domain),报无法解析域地址;

不用 DHCP 了,手动设置 IP、网关、DNS 地址,发现症状第三季:

  1. DNS 被锁定为 85.255.xxx.xxx

这时感觉问题有点严重,Google 了一下,看了这两篇文章(12),虽然还是不知道是什么病毒,不过至少有眉目了,检查系统,发现症状第四季:

  1. 每个盘符根目录下面都有两个隐藏文件:autorun.inf 和 recycledboot.exe,需要关闭“隐藏受保护的系统文件”选项才可见;
  2. C:WINDOWSsystem32 下有一个 kdxxx.exe 的文件,xxx 为三个随机小写字母,文件描述为空,且无法删除,说正在被其他程序使用,很可疑;

最后,删除每个盘符根目录下的那两个隐藏文件,重启 F8 进入安全模式,删除该kdxxx.exe文件,再重启,一切正常,可以登陆域了。

以上斜体表示病毒干的好事,粗体表示我杀生时作的恶。

No Comments / Trackbacks / Pingbacks

Leave a Reply

:) :wink: 8-O :lol: :-D 8) :-| :mrgreen: :oops: :-o :-? :( :twisted: :cry: more »