一、惊现木马
那天笔者下网后在打开一个纯文本文件的时候,Norton突然报告发现病毒,拒绝访问该文件(图1)。纯文本文件里怎么会有病毒?带毒的程序竟是E:WinNTSystem32 oteped.exe。
图 1
二、分析
“PWSteal.Trojan”看名字应该是一个木马,它居然能强行将TXT文件的打开方式与noteped.exe关联。右键单击任一文本文件打开属性窗口,从这里我们就可以清晰看到文件的打开方式已经变成了“noteped”,但只要Norton没有关闭,这类文件就无法打开。noteped.exe不就是记事本吗?
打开E:WinNTSystem32目录,赫然发现notepad.exe、noteped.exe两个程序并列在一起(图2),细看后才发觉它们有一字之差。于是笔者立刻将病毒库升级到最新,并对电脑进行一次全面的查毒,结果在E:WinNTSystem32目录下还发现了三个病毒文件(Outlook.exe、Winet.exe、Explorer.exe)。
图 2
三、解决办法
用Norton查杀该木马时,提示无法删除或隔离它们,看来只有靠自己了。为了看看木马还有没有漏网的同伙,笔者以木马创建日期(2000.01.01)、文件大小(147KB)为条件在电脑中又“搜索”了一遍,结果还是只有四个染毒文件。
进入E:WinNTSystem32找到这四个文件,立刻对它们实施“极刑”,不过系统提示“explorer.exe文件正在使用无法删除”,于是笔者按下“Ctrl+Alt+Del“打开任务管理器,查看进程竟然看到了两个explorer的进程(图3),其中肯定有一个是木马进程。它的进程路径应该为E:WinNTSystem32explorer.exe,而真正的桌面的进程路径为E:WinNTexplorer.exe。结束木马进程,顺利删除explorer.exe.。
图 3
重启机器后,木马的四个“同伙”居然又回来了。另外还有一个奇怪的现象就是,如果将木马的“同伙”放入回收站,这时只要选中被删除的noteped.exe,就会发现硬盘灯在狂闪而且还原功能项会在“还原此项目”和“还原所有项目”之间切换(图4)。哎!这可把笔者这菜鸟难住了﹖经过一番试验才终于找到一个好方法,既然noteped.exe一定要关联TXT文件,干脆把记事本程序和noteped.exe互换,并把notepad.exe(其实已是木马程序)删除,这样就应该可以顺利打开文件了。于是本菜鸟立刻把记事本程序复制后依次改名为Outlook.exe、Winetexe、Explorer.exe并替换四个染毒文件。
图 4
机器是修好了,但每次开机会运行4个记事本程序(E:WinNTSystem32explorer.exe,实为notepad.exe)。
注意:用作替换的源程序最好是诸如记事本、画图等复制到任一文件夹都可以运行的小程序。
因为木马并没有被彻底查杀,经过“大虾”的分析:木马进程在开机时就被自动加载,所以无法直接删除它们。只有切断木马的自启动功能才能彻底查杀,很显然EWinNTSystem32explorer.exe这个就是木马的自启动进程,运行注册表编辑器依次展开[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload],大家可以看到如图5信息,把它删除,重启电脑后木马即被彻底杀除。
图 5
四、恢复文件关联
由于noteped.exe被删除,TXT文件没有了应用程序关联,下面笔者就来进行恢复操作。打开“我的电脑→工具→文件夹选项→文件类型如果没有TXT文件→新建→新建扩展名→输入‘txt’→确定→选中txt扩展名→更改→从列表中选择程序→记事本→确定”即可(如果列表中没有显示记事本,可浏览选中EWinNT otepad.exe)。
看本文的网友还看了:
2006 经营许可证编号: 粤B2-20050807