返回列表 回復 發帖

遭遇駭客

一日,感覺電腦系統突然不正常了。先是,發現瑞星殺毒不知何故不能自動在開機時啟動,自動監控失效。這時還沒想到是駭客,以為是系統或服務錯誤,沒考慮是病毒所為。於是手動打開瑞星查殺病毒。檢查發現,的確系統中了病毒,其中之一從病毒名稱上看是盜號的木馬。如此在太歲頭上動土,令我十分惱火。立即更新了病毒庫,準備徹底查殺。
  
  殺毒過程中,發現一些病毒程式不能被瑞星處理,知道這是病毒保護的原因。肯定一些病毒已經啟動了。運行系統配置實用程式(msconfig),發現啟動項加入了數個病毒程式。將啟動項清除,確定,發現錯誤提示。
  
  擔心啟動項未能清除,就運行註冊表編輯器(regedit),發現註冊表編輯器被禁用。可惡。試打開組策略編輯器(gpedit.msc),發現還能用。定位到“用戶配置”-“管理範本”-“系統”,找到“阻止訪問註冊表”編輯工具,將註冊表恢復。打開註冊表,查看自動啟動的run子鍵,發現病毒啟動項已經清除。
  
  下麵要緊的是結束運行的病毒進程,以便殺毒軟體能夠處理病毒。運行任務管理器,查看系統進程,發現進程中有多個病毒進程,尤其有一個popo.exe進程無法結束,結束後立即生成。更令人可怕的是,突然間出現了數個cmd.exe進程,自己沒有運行這個啊,肯定是駭客啟動的程式。試結束該進程,不行。再看運行該程式的用戶,不是自己的Administrator,而是一個陌生的叫new1的用戶!這時才想到了駭客,顯然駭客已經新建了一個登陸帳戶,並且正在運行cmd程式。
  
  立即斷開Internet,斬斷駭客的黑手。找到已經下載的冰刃程式。從冰刃展開系統進程,強行結束popo.exe和其他病毒進程。然後查看那邊瑞星殺毒的情況。按照不能處理的病毒程式名稱,在冰刃中打開病毒程式目錄,強行將病毒程式刪除。通過按日期排序,發現病毒程式的創建日期都是2009/3/10這個日期,於是索性將凡是這個日期的檔全部刪除。
  
  經過一番努力,按照瑞星提供的病毒線索刪除了所有的病毒程式。然後重新全盤掃描一遍病毒,又在D盤的IE臨時檔夾裏發現了一些病毒。同樣利用冰刃將IE臨時檔全部刪除。自此,整個系統安靜了。
  
  重新啟動系統。掃描沒有安裝的系統補丁。想到駭客創建的new1用戶,趕緊用tusernew1/del命令刪除;又更改了自己的超級管理員密碼。至此,這場安全反擊戰才告結束。
  
  反思這次遭遇,顯然是過分相信瑞星了;幸虧及時追查了瑞星監控失效的原因,否則後果嚴重。如果讓一個駭客知道自己竟然攻進了一個電腦高手的電腦,他會樂翻天的。最後警告自己,以後警醒些,發現系統異常,立即檢查,不要等駭客侵入了才發現,經歷這場無謂的戰鬥。
返回列表