① 由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”。
② 去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,即可查看在windows目录下的病毒隐藏文件。
2.2 发现病毒
(1)文件名称及大小
本次捕获到病毒样本文件三个,mssecsvc.exe、qeriuwjhrf、tasksche.exe,根据其md5校验值,tasksche.exe和qeriuwjhrf文件大小为3432KB,mssecsvc.exe大小为3636KB。
(2)md5校验值
使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:
tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e
(3)查看病毒文件
① 系统目录查看
文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:
cd c:\windows\
dir /od /a *.exe
② 全盘查找
dir /od /s /a tasksche.exe
dir /od /s /a mssecsvc.exe
③ 病毒现象
通过netstat –an命令查看网络连接,会发现网络不停的445 对外发送SYN_SENT包。
④ 病毒服务
通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010年11月20日17:03分。
2.3 结束进程
通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,从进程中去查找mssecsvc.exe和tasksche.exe文件,选中mssecsvc.exe和tasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。以上三个文件一般位于c:\windows目录。
我在病毒感染期间没有截图,以下图代替
2.4 删除程序
到windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,清空回收站,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。
2.5 再次查看网络
① 使用netstat –an 命令再次查看网络连接情况,无对外连接情况,一切恢复正常。