有个同学把他的手机插到我的电脑上下东西。为了安全起见,我决定先杀杀毒,可是瑞星却突然打不开了,可怜我的瑞星啊!连叫一声的机会都没有,就光荣下岗了。没办法只好手工杀毒了。
第一步,查毒
既然瑞星已经光荣下岗,我首先想到的是使用冰刃来查看可疑进程,可是冰刃竟然也打不开了,后来我又试了下杀毒助手,syscheck等发现都打不开了,真是郁闷。接着我又想查看隐藏的文件,看到底是什么病毒。竟然也不让我查看,看来又是注册表的隐藏文件设置被修改了,于是我只好写了个批处理来恢复回来。
![V)SIDHA)E{TI4_1G{]F3I%2.png](https://www.weixianmanbu.com/zb_users/upload/2017/01/201701231485161268731625.png)
保存为显示隐藏文件.bat,执行后终于看见病毒真面目了——meex.exe。到百度上搜索一下,竟然说是什么七位随机病毒?我看了一下其他文件,还真都是七位的。
第二步,杀毒
既然知道了,是什么病毒,下面就开始手工查杀了。既然目前流行的反病毒工具都不能使用,我就想到了IFEO劫持,就是通过在注册表HKEY_LOCAL_MACHINE_\Microsoft\Windows NT\CurrentVERSION\Image的目的。我在运行栏目里输入regedit打开了注册表,来到上述键值下,果然发现很多目前流行的反病毒工具都被列入了黑名单中,难怪我的冰刃无法使用。因为这个病毒还在每个程序的子键下建立了同样的子键debugger来指向C:\program Files\Common Files\Microsoft Shared\snladed.exe,看来我们运行任何一个程序都会导致病毒的重生。
于是我删除掉了icesowrd对应的键,重新运用冰刃,这回正常打开了,发现有异常进程snladed.exe和nbxbbkb.exe,于是选中这两个进程结束掉。然后我又在运行栏目里输入msconfig打开系统配置实用程序,查看里面有没有可疑的启动项,果然发现了两个可疑的启动项snladed:C\program Files\CommonFiles\Microsoft Shared\snladed.exe和nbxbbkb.exe;”C:\Program Files\Common Files\System\nbxbbkb.exe”,选中它们后当然是禁用了。接着到HKEY_LOCAL_MACHINE_\Microsoft\Windows\CurrentVersion\Run下删除掉snladed.exe和nbxbbkb.exe这两个键值,再转到该目录下删除病毒程序,使用冰刃的文件查看功能,来删除那两个病毒文件。最后直接删除整个键值,避免程序无法创建,至此整个杀毒过程就结束了。
最后一步,分析和修复
病毒总算杀完了,不过还没有最终结束,清除完病毒后,一定要使用升级到最新病毒库的杀毒软件,再彻底的查杀一遍,然后使用安全工具修复一下系统,并利用autoruns查看一下启动项,看是否还有其他的程序被感染,最好再使用一下注册表修复工具,修复一下注册表。