今天用firefox浏览时突然弹出”Security Center Alert“对话框提示中毒,如图1,似乎只能点击“Enable Protection”,点击后浏览器直接链接到“www.perfectd-review.com/?a=112”,一个防间谍软件的主页。
图1
另外当再单独打开一个浏览器窗口时并没有出现习惯了的google的主页,而是提示有毒,如图2,点击“Click here get full advanced real-time protection and continue browsing",又出现了“www.perfectd-review.com/?a=112”的页面。
图2
其实firefox和安全中心(Security Center Alert)的联系并不大,两个软件提供的解决方案都同时指向一个主页,不由使人产生疑问,最大的疑问是,我安的是中文xp,安全中心的提示却都是英文的,显然不应该是系统本身的对话框。用VC的Spy++察看图1的对话框也表明其与MS系统的差异(不再赘述)。 虽然下载了Perfect Defender 2009,鉴于以上疑点,未轻易安装,其实该网站上所谓的Perfect Defender 2009是一个假冒的防间谍软件,一旦安装不但很难卸载而且其伪造不存在的中毒信息,并一直提示购买注册版(参见http://www.bleepingcomputer.com/virus-removal/remove-perfect-defender-2009)。
没有安装Perfect Defender 2009,但”Security Center Alert“每隔一段时间就会弹出来,firefox也不能正常浏览。看来肯定是中毒了,察看进程,似乎svchost.exe多了不少,有本用户的,有SYSTEM的,有NETWORK SERVICE的,先结束一个本用户的,注销,再次登陆,无效果,”Security Center Alert“依然会弹出来,firefox依然瘫痪。察看注册表的启动项[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun],无异常。安装MS的Windows Defender(因为xp是正版的,所以可以安装) ,扫描,无效果。因为firefox基本无法使用,于是切换到Fedora系统查找资料,检查xp的可疑文件,无果,再次进入xp,搜索本用户文件夹下2009年7月12日更改的所有文件,按类型排序,先检查可执行文件,依次更名,然后注销xp,登陆,启动firefox。终于在检查到”C:Documents and Settings本用户名Application DataGooglezlgai50494.exe“时,更名起到了效果,firefox启动正常,”Security Center Alert“不再弹出。查找注册表发现键值[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "realteks"=""C:\Documents and Settings\xiajing\Application Data\Google\zlgai50494.exe" 2" ,先前查注册表时并无此键,估计病毒启动便删除该键,关闭前再写入该键,所以病毒驻留的时候是查不到该键的。 本身不是研究计算机病毒的,也没有精力和时间再深入的探究下去,主程序zlgai50494.exe删除了,病毒不再发作了,也就没管是否还有其他相关程序、链接库以及注册表信息等,希望其他人再补充吧。