光辉的战斗

陕西话起:东方红,太阳升,老汉起床看本本……

话说周六早晨,老汉一扫之前每逢休息日必萎靡赖床之积习,神清气爽地开始了新一天的战斗。翻开我的笔记本一看,嗯?怎么有个叫什么 Kuco 的东东要让我安装?如果没有记错的话,这个玩意儿不是下载音乐用的吗,可是我没有下载它的安装包啊。再仔细一看,惨了,连雅虎助手都起来了,而且,进程列表里还有个 ravmon.exe 很可疑,因为我并没有安装瑞星杀毒软件,另外还有一个 VIPTray.exe 更是眼生的很,想必是我老人家中招了。

先把 Kuco 的安装程序退出,把安装文件删除。把 Ravmon.exe 进程杀掉,把磁盘上的文件删除。在进入临时目录的途中,发现 Documents and Settings\用户名\ 目录下有好几个可执行文件,一看就不是好东西,一并删除。

接下来的活儿老汉有点发憷,就是雅虎助手这个王八蛋,向来是请鬼容易送鬼难,而且会往系统里安装驱动程序,手工清除还真不容易。不过这个王八蛋为了堵天下大众悠悠之口,好歹也算提供了卸载程序,试试看吧。系统的卸载列表里“雅虎助手”与臭名昭著的“网络实命”赫然在目,先卸载雅虎助手,这龟儿子导航到了网页上,仔细看清楚各个选项,卸载。再卸载网络实名。咦,怎么雅虎助手还在啊?再来一遍,乖乖,这回消失了。总听人说雅虎助手是卸载不掉的,老汉怎么总能卸掉啊?建议说卸不掉的人多卸载几回试试。

雅虎助手不见了,心放了一大半,剩下个 VIPTray.exe 还不是小菜。先把进程杀掉,再把文件删除,这孙子,文件都写在 System32 里。我的神啊,不是老汉眼花了吧,怎么又出来了?看来现有的某个进程里一定被注入守护线程了。把 FileMon 拿出来,我倒要看看哪只母鸡在下蛋。晕,瞬间 FileMon 输出无数条记录,看得我老人家眼都花了,看来这一招不怎么好使。到网上查一查吧,看看有没有人遇到过这个丧门星,一看,呵呵,难兄难弟还真不少,而且又有新收获,说 System32 下的 wmpdrm.dll 和 windefendor.dll 也是坏种之列。各位,像我这样的高手看到这两个文件名都不敢轻易动刀子啊,前者像极了媒体播放器的数字版权管理库,后者则与微软新的 Windows Defender 极其相似。下载了一个别人推荐的 KV_VIPTray.exe 的专杀工具试了一下,娘西匹,人家该活蹦乱跳还是活蹦乱跳。

怎么办?老汉念两句咒语先:Calm down, calm down. 你还别说,办法一下子就来了。眼看着这帮丫挺的紧着往系统目录里写东西,嘿嘿,那老汉就给你们来一招绝户计!动手,先创建个受限帐户。再用受限帐户登录之前,又把法宝 Autoruns 祭了出来,看看有没有什么暗藏的机关。不看不知道,一看吓一跳啊,注册表中但凡能启动程序的地方几乎都做了手脚。HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 里多加了两项,但是很奇怪,找不到对应的文件,删除之;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里也加了两项,一个是 ravmon.exe,一个是 system32\spoolsv\spoolsv.exe,奶奶的,伪装的太像系统的打印服务了;而且发现 VIPTray.exe 竟然是个服务程序,还堂而皇之地写着洋洋洒洒的描述信息。

注销当前用户,以受限用户登录。为了防止开图形程序给这帮贼挂钩子的机会,直接起了个命令行窗口。现在权限太低(受限用户嘛),用 runas 命令新建一个命令提示符窗口,当然这次就是用管理员权限了。再次启动 Autoruns,把上述那些相关的项统统死啦死啦地。在命令行上停止 VIPTray 服务,到 System32 下把文件删除,当然 spoolsv\sploosv.exe 也是依葫芦画瓢搞定。小样儿,看你们再出来?!接着收拾 wmpdrm.dll,靠,竟然删不掉!查看一下谁在使用 wmpdrm.dll,结果显示是 explorer.exe,而且这次又有发现,explorer.exe 进程中还有几个陌生的动态库,文件全部位于 System32\msicn 路径下。决不手软,立马把 explorer.exe 咔嚓掉,wmpdrm.dll 倒了霉,再也支持不住我老人家的进攻了。

轮到 msicn 目录了,在命令行下 del msicn /s /q,我倒,又是一个惊喜,人家纹丝不动。procexp 又来救驾了,逐个检查进程,发现 conime.exe、ctfmon.exe、daemon.exe 这三个进程中都加载了该目录下的模块。斩草不除根,春风吹又生,手起刀落,人头委地。这回再 del,哈哈,服帖了!其实中间还有一个插曲,就是 Program Files 下还有一个 DoDoorRSSFinder 的目录也应该删除,篇幅关系,不赘述。

最后再用 procexp 和 autoruns 检查一遍,没有可疑之处了。好,注销此受限用户,以管理员用户登录,观察一下 System32 目录,也没有再生出别的文件来。

再一看表,十点了。两个钟头的战斗以老汉的彻底胜利完美结束。

我终于知道我二哥为什么总是宁可重装系统了……

注:以上均为回忆,非实时记录,可能与史实有出入。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注