使用Ctrl+Alt+Delete组合键查看你电脑的进程,有没有发现firefox.exe和vvisit.exe两个进程?如果有的话,那么你是中毒了~~开机进入桌面后初期,在进程表我们还可以看到CMD.EXE这个进程,嘿嘿,这个是下面说到的一个细节。我使用优化大师中的系统优化下面的系统安全优化右边的进程管理查看一下更加详细的进程信息。我查到vvisit.exe – 西安智鑫软件开发公司,firefox.exe进程归属于vvisit.exe下面。那么vvisit.exe这个主要的东西是什么?vvisit是指vvisit.exe ,它是沙丁鱼软件的运行程序。沙丁鱼软件是一款免费提高网站访问IP和PV,并且很有效果的提高网站ALEXA排名的软件,适用于所有类型站长、企业和普通网友。
我在中毒前下载过几款软件,PPS落雪梨花绿色版,这个是在落雪梨花百度贴吧下的,所以问题不关键,puff.exe翻墙软件,豆瓣网友推荐,官网下载的,翻墙上了一下twitter,回来下载了狂人论坛上的两款软件,分别是帖子《网络超强提速!让网速飞一般的感觉!》下的“网络超强提速.rar”,压缩包解压出来的分别是TCPOptimizer.exe,win2000_dnscache.reg和winxp_dnscache.reg两个注册文件。TCPOptimizer.exe确实是在很早以前就有了的软件,其中文意思是“TCP优化”,作者是国外的,2001年就已经开发关于TCP/IP协议优化的软件(TCP功能:提供计算机程序间连接、检测和丢弃重复的分组、完成数据报的确认、流量控制和网络拥塞。)我现在使用的是官方的不用狂人论坛发出的压缩包了。还有,QQ号码申请器V2.9这个鸡肋。


嗯是这些了,我可以说完全是狂人论坛上方面的事,一个很简单的原因是,客户端请求过多造成堵塞是无法连接上服务器,首先在我中毒的时候,我已经使用TCPOptimizer.exe这个软件优化了,再者我已经中了沙丁鱼病毒,在我重启电脑尝试再次进入论坛找到“网络超强提速.rar”压缩包重新下载分析,但两者同时作用于服务端,造成无法连接~~~~其他的大型服务端正常。所以我相当怀疑是狂人论坛上的软件造成的。
杀毒工具:unlocker,到XDOWNS搜索下载。
在使用该工具前我已经尝试过不同的方法杀除沙丁鱼病毒,但重启后依然恢复回来。ESET也不起作用,按照病毒所在路径也扫不到啥东西。其中一个例子在开机初期,在已经找到病毒路径的下情况下,我按照下面讲到的杀毒方法尝试使用unlocker解锁病毒所在的文件夹,出现了Regsvr32的运行错误,在进程下一般情况我们是不会看到这个进程的,我昨晚看到这个进程在进程表内停留了好一段时间,这是因为沙丁鱼病毒初期运行了CMD.EXE并正在通过Regsvr32.EXE命令调用FSO对象(File System Object,文件系统对象,网络脚本病毒的复制、传播都离不开FSO对象)。好的那么怎么办呢?我们禁用FSO对象,在电脑桌面我们以Windows XP为例,在“开始”菜单→“运行”复制regsvr32 /u scrrun.dll到窗口点确定。禁用FSO对象,对于一般用户是不会造成什么影响的。如果想恢复将regsvr32 scrrun.dll按上面的方法就可以重新注册了。注意禁止FSO对象无法运行CScript.exe程序CScript.exe位于C:\WINDOWS\system32下,这个东西是检查系统端口占用的情况的,刚好今天我在使用XAMPP程序附带的检查端口工具,想检查一下端口使用的情况时发现该工具无法运行。好的,接下来我们重启电脑,按照下面的方法操作:
右键我的电脑-属性-系统还原-“在所有驱动器上关闭系统还原”打勾,找到病毒文件,右击点击病毒文件,选择 unlocker进行解锁。然后就可以把病毒文件删除了。

清理注册表:开始-运行-输入regedit 打开注册表编辑器,分别在
HKEY_LOCAL_MACHINESYSTEMControlset001Services
HKEY_LOCAL_MACHINESYSTEMControlset002Services
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
下找到以病毒文件名命名的项并删除
那么你遇到的问题是否也解决了?好吧,我搞定了。呵呵。
注意使用安全模式查杀也没法对付沙丁鱼病毒,NB极了,冰刃这个东西我不大敢用,运行后系统马上就出现蓝屏提示,终止运行。

补充:
今晚重新注册FSO对象重启后,马上观察进程栏,我可以看到PING.EXE自行启动,消失,CMD.EXE启动运行一段时间,然后沙丁鱼vvisit.exe又游回来了,带上火狐狗来拖网速了~~~
配合使用工具ESET和360顽固木马专杀软件。
看分析————

ESET实时扫描得到的结果:
时间:2009-8-23 1:43:10
扫描程序:文件系统实时防护
对象:文件
位置:C:\Program Files\WinRAR\Default.SFX
威胁:可能是 Win32/Spy.Agent 特洛伊木马 的变种
操作:通过删除清除 – 已隔离
用户:PC-20090815HDVT\Administrator
信息:尝试通过应用程序访问文件时发生事件: D:\Pro\360compkill\SuperKiller.exe.

+++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++

360顽固木马专杀
SysRepair.log日志显示结果:
名称:AutoRuns
类别:可疑启动项文件路径:C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
修复情况:禁止自启动
注册表路径:SYSTEM\CurrentControlSet\Services\helpsvc
注册表的项名:ServiceDll
服务器安全级别: 0判断级别: 0

名称:Trojan.Win32.AutoDS
类别:木马文件路径:C:\WINDOWS\helpctr\wuem\maf\svchost.exe
修复情况:重启删除
注册表路径:SYSTEM\CurrentControlSet\Services\wscsvc
注册表的项名:ImagePath
服务器安全级别: 7判断级别: 0
current time : 2009-08-23 01:40:39
____________________________________

360顽固木马专杀软件隔离区显示结果:
C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
我已作出删除,重启,系统并未提示“找不到pchsvc.dll 5.1.2600.2180”或“pchsvc.dll 5.1.2600.2180缺失” 或者“pchsvc.dll

5.1.2600.2180错误”等等。那么svchost.exe和pchsvc.dll关联在一起。这是个问题。
提示C:\WINDOWS\PCHealth\HelpCtr\Binaries\路径下并没没有显示任何文件。