返回目录:电脑怎么了
如今,互联网上到处都是各种Ghost系统,固然是方便了大家,但是某些不怀好意的人会在系统镜像里预置一些恶意软件,轻则修改主页,重则窃取个人资料,给大家带来无法挽回的损失。今天,我就要给大家描述一下我是如何从发现到查杀一个预置在系统里的病毒的。
因为笔记本配置低,所以系统是我在一个计算机专业论坛下载的精简版,以前偶尔用一下,也没发现什么奇怪的情况。
直到今天逛购物网站的时候,发现中间居然跳转到了一个可疑链接,最后在类似返利的页面停了下来,就像这样:
京东跳转到了有返利的页面
大家以后应该注意一下,如果跳转到某些返利页面,就说明肯定有软件或运营商从中作梗,应该小心一些。
使用百度的时候,搜索结果网页也被加上了带tn的链接:
百度链接被人加上了推广参数
当时我的第一个念头是肯定有程序在代理设置或是软件里面动了手脚,赶紧打开分析软件一看系统进程,什么问题都没有,一切正常:
进程页面,系统进程无被注入的情况
经过百度查询,发现有可能是Rootkit,一种隐藏在操作系统内核的恶意软件,赶紧检查了一遍驱动。果然,发现了一个奇怪名字的驱动,搜索引擎上也没有相应的结果,由此判断文件应该是随机生成的文件名。进一步查看文件属性,发现原始文件名居然是 tcpip.sys 。将此文件强行删除,重启后发现恢复正常,由此可判断该文件就是罪魁祸首,后来使用Rookit专杀工具也证明此文件有问题。
Rootkit病毒伪装成电脑正常驱动
至此,Rootkit的问题解决了。但还是要提醒大家,安装系统请选择正版网站下载如itellyou或者MSDN,不要随意在其他网站下载所谓的一键安装,存在极大的风险。同时,尽量使用正版系统或KMS来激活,不要使用来源不明的激活工具,否则,由于激活工具在未安装杀软的情况下运行,极易中毒。
本文由头条号:换个想法看世界 发布,作者在博客(hiCasper.com)同步更新,转载请注明作者。