中了个叫bravesentry的流氓软件
昨天下午突然电脑出了问题。
一开始先是我的Norton AntiVirus (NAV)说它在拦截什么入侵。然后是我的右下方任务栏出现了两三个红叉,说Windows Security Center告知,你的电脑已经感染了spyware(间谍软件),请立即寻找反病毒/反间谍软件的软件对之进行清理。然后我的整个桌面也被更改,变成黑色背景,上面几行大字:Your System is in Danger!然后警告我迅速购买反毒软件。我点了一下红叉,我的任务栏立即出现了一个叫Bravesentry的软件,不知道怎么跑到我的电脑里,自动开始对我的系统进行扫描,而且几秒钟能就发现大量的“间谍软件”和“木马”(事后证明都是伪报)。
这个软件不断出现,并且不断给我打警报,然后要求我购买它们的软件进行“杀毒”。
我这时意识到这个玩意儿是个偏钱的流氓软件。Windows Security Center也和微软根本无关。我试着解除对它的安装,但是删除后不一会儿马上又出现了。我关机,软件总在一开机就出现并对我的机器进行扫描、警告。点击他们的网站,装扮得是在出售正经的反间谍软件的公司。
这个软件非常流氓,除了抢占大量系统资源外还马上干了三件事:
一是不但更换了我的桌布,而且冻结了我自己更换桌布的权限。到现在我仍然不能自由选择backgroud。
二是封止了我开任务管理器的权限,按atl+ctrl+del后马上弹出警告窗口说我没有权限。这样我就无法关闭他们的软件。他们什么都想到了。
三是不断弹出窗口和网站连接,让我加载其他新的软件,我一不小心之下按错了,又开始下载一个软件,马上意识到不对,但是关闭不掉,这个软件又被加载进来。
四是在几分钟内就摧毁了我的NAV(觉得NAV实在没有什么用,又慢又蠢),把我的NAV的某些文件破坏,使之无法正常使用。
于是我修复了NAV,加载了新毒库,但是发现NAV根本难以对付这个东西:它不断地在我饿windows/temp里生产成百上千的源源不断的病毒文件,我的NAV会逐个对它作出反应,一个一个发警告一个一个处理,系统速度减到极慢,根本无法维持。
我又安装了McAfee并且更新了最新毒库,发现能查出这个东西,就叫Bravesentry木马。我在常规模式和安全模式下杀,但是不理想,虽然把Bravesentry杀掉了,但仍然不能把它杀干净。木马仍然在我的系统里。在杀的过程中,McAfee对这个恶意软件自动生产的病毒文件自动全部删除(不像NAV一样一个一个询问)。但是McAfee删一个,它生成一个。
但是McAfee已经极大的破坏了这个恶意软件,隔离了一些单位它的重要文件。
在这个事件中,我的Ad-Ware基本没有作用。
我又安装了最新的Kaspersky,也能查出这个病毒软件,而且给我清得比较干净。
最后我又安装了Spybot和Windows Defender。后者我尚没使用,只用了前者,利索地把它基本上完全从我的系统里消除了。
但是目前我的系统仍然有后遗症,一个就是桌布仍然不能更换,被锁定。我认为是一个policy的问题,用admin去更改了一下注册表的数值不过暂时还没解决这个问题;
二是在杀毒的过程中损伤了我的IE,后来重装了IE。但是直到现在我用IE搜索google,google会认为我的搜索是发自骚扰性软件的,要我输入认证码证明我是一个人。用Firefox无此情况。
我不是学电脑的,基本上不懂技术,只能凭感觉告一搞,所以我说不出更具体的了。
这次事件印象就是,NAV太弱了,几秒钟就人家报销了。
最后在google搜索一下,也就知道BraveSentry是怎么回事了,是Spyware Sheriff的一个克隆、变种。
这种软件打着反间谍软件/反病毒的名义,搞着真正的间谍软件和病毒,甚至还想骗钱,实在极其的卑劣无耻,大家定要小心。我本人非常注意间谍软件,从来不去乱七八糟的网页,也不乱下载东西,这个玩意儿也能钻到我的电脑里。
杀毒软件不管木马的,使用防火墙(或者使用zonealarm,英文不好使用天网):
http://download.kerio.com/dwn/kpf/kerio-pf-2.1.5-en-win.exe
清楚IE恶意插件(删除注册表选项)的办法(以后不要使用纯IE上网,使用myie2,opera,firefox,除了运行使用javascript外,其他选项都关掉),
http://www.sysinternals.com/utilities/autoruns.html
选择其中的internet explorer一栏
将木马的物理文件删除的办法(不需要进入安全模式,而且安全模式对于现在的木马一般无效,毕竟木马的技术在进步:) ),使用unlocker(google一下).
将正在运行的木马程序杀死的办法,使用Process Exploer:
http://www.sysinternals.com上搜索一下.
Comment by redguardtoo — June 5, 2006 @ 2:18 am