蔡逸竹

近有個小朋友剛買了台電腦，當然是玩了，讓我幫他找合金彈頭4。呵呵，搜索了下，先下了個模擬器，幾百k，卡巴掃過，沒有問題。不過對那個文件總是感覺怪怪的，猶豫了一下，還是雙擊了。不出一秒就開始後悔了，雙擊後果然什麼界面也沒跳出來，直覺告訴我中招了T_T。立即斷網。

Tips：如果中著後，記得立即斷網，因為這個時候並不能判斷出病毒或者木馬的破壞性，而斷網能夠盡可能的減少你的損失。

打開任務管理器，仔細核查進程，因為平時對自己系統的進程都很瞭解，所以還是有信心找到可疑進程了。可惜，再三檢查，發現並沒有異常進程，只好暫且擱置，檢查其他地方。打開註冊表，查看開機啟動項，正常。於是冷靜下來分析了一下，木馬並沒有添加開機啟動項，而且也隱藏了進程，經驗告訴我，是服務，通過服務啟動是可以隱藏進程的。事實證明，果不其然，在隱藏MS的服務後，我發現了這麼個可疑服務：Distributed Link Tracking Clientr。注意，這比系統正常服務Distributed Link Tracking Client多了一個字母r。順籐摸瓜，找到了服務啟動進程：kavsvc.exe。暈，居然和卡巴的進程一模一樣，只是它的默認路徑在C:\WINDOWS\system下。

Tips：除了可疑進程外，我們還要留意的一個地方就是系統服務了。許多人只知道了進程查看卻忽略了服務。其實，通過服務查看反而容易檢查出木馬。而msconfig裡的隱藏MS服務後更加方便了我們來查找可疑服務。通過服務的信息我們能方便的找到啟動進程。

由於家裡沒有另外的電腦，只能先再次上網google Distributed Link Tracking Clientr這個木馬服務的解決方法，可惜結果讓人失望，並沒有很好的辦法T_T ，無功而返，再次斷網。決定手工清除。

Tips：大家可能要想了，剛才我明明說要斷網，這時候怎麼又上網了。記住，你所遇到的問題99%是能通過搜索找到的，網上會有詳細正確的處理方法，所以大家遇到問題時請先google一下。由於條件限制，所以我決定先上網查找一下，各位有條件的話請用另外一台安全的電腦來搜索。

系統還原是關著著，來到安全模式下。第一步要做的是清除病毒文件，在C:\WINDOWS\system下果然找到了kavsvc.exe，刪除成功。為防止有其他保護進程和文件，我仔細查看了Windows和system32下文件，還好，並沒有。第二步，註冊表清除。打開註冊表，首先是查找kavsvc.exe，由於和卡巴的進程同名，所以搜索後要注意一下路徑，發現註冊表值是C:\WINDOWS\system\kavsvc.exe的，一個不留。再次搜索Distributed Link Tracking Clientr，也全刪。

Tips：這裡有兩個小技巧。第一個是在查看文件的時候，讀者會問WINDOWS文件夾下有那麼多文件，怎麼查？不急，請按時間先排序，記住打開系統保護和隱藏文件。這時候就一目瞭然了，對於那些被隱藏的中招時間左右生成的特別是可執行的文件，特別注意。第二個是在刪除註冊表值時會出現無法刪除的情況，這時候只要修改一下權限就能夠刪除了。

清理完全後，重啟，發現C:\WINDOWS\system下已沒有kavsvc.exe文件，說明木馬沒有其他保護進程。再查看服務，Distributed Link Tracking Clientr也沒有了。安全起見，再用ewido查殺一遍，沒有木馬發現。OK，繼續去找合金彈頭4去了。

Ewido V4.0.0.172b 繁體免裝版

Ewido 在更新病毒庫時都會先驗證執行檔 採用跟之前beta版的方式 只不過它沒重下而已 所以有使用的朋友採用輸入序號的方式 之後更新就比較快了 不過更新完會變成試用版 所以每次都要再重新輸入 不曉得這Key能用多久 總之不能用時再用手動方式

可用到2007.2的KEY: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY

檔案連結: 訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。