图片:
昨天突然发现光驱使用不正常,怀疑是木马或者病毒搞的鬼,就开始杀毒,以下是过程:
1 先是直接使用安装的正版金山毒霸6安全组合装杀,结果一个没发现,而机器依然不正常,就删除了金山6。
2 再重启后,下载 NORTON 8.0 企业版,更新好病毒库,开杀,结果浪费了2小时,杀了50000个文件,NORTON 突然报告运行库文件出错,退出了,重启依然不能启动,怒了,直接删除。
3 再而安装国内好评的瑞星、KV2004(都是联邦的正版货),结果瑞星个垃圾,只扫了15000个文件,报告我杀完了。。。(~~~什么破烂货)。。。KV2004,结果是直接无法启动内核。。(更寒)
4 无奈,听从某人的意见安装木马克星,更好笑的事出来了,白痴东西死活说我的 SERV-U 管理员是木马,怒删之。
5 最后无奈下载了,卡巴的5.0.14 PRO版,毒是找出来了,杀毒时,居然连毒带自己全部杀死。。。重启也无法启动。
6 百般无奈,打电话求助正版杀毒软件的客服,都还不错,今天象走马灯似的来了。
以下的各杀毒软件的客服或者工程师检查结果:
金山客服工程师:机器根本没有中招,无聊的做作,机器慢不稳定是系统问题。
瑞星工程师:机器没有病毒,文件系统有错,硬盘稳定性欠佳罢了。
KV 工程师:时间忙,不能提供免费服务。结果是没来。
NORTON 客服:无法为您提供上门服务。
卡巴斯基客服:请用 E-mail 速写我们总部联系。
无法,写 E-mail 至 Kaspersky 总客服,结果对方在1小时后,就回信了,说请下载他们最新的5.0.227版本更新后查杀,并送了我一个可以更新一年病毒库的 KEY 文件,请我如果出错,请将错误报告返回。
只好照做,结果杀完了,软件依然非法,返回了 MS 的垃圾错误报告,打算等最后的回复,如果不行,只好全盘做光,重做系统了。
没想到的是对方再次回信我了,说问题找到了,注册表的 DLL 运行库类被修改了调用,请强行改回再启动 Kaspersky,照他们说的方法改了注册表,再次全盘查杀后,问题全部解决。
通过这次事件,TMD 看透了国内杀毒软件的水平……
附上 DLL 的注册表修改正常后的结果:
HKEY_CLASSES_ROOT\.dll\
Content Type:application/x-msdownload
HKEY_CLASSES_ROOT\.dll\PersistentHandler
default: {098f2470-bae0-11cd-b579-08002b30bfeb}
木马的名称未得而知了,我没让他写记录,但是知道性质是:
在注册表系统的RUN键下,写入: WINUP=%windir%\system32\winup.exe
并在程序目录中,随机一个目录植入一个随机名称的程序,并修改了 DLL 的运行方式。
最后放一张大吉大利的图,祈祷大家别中到象我这种程度