笔记本中毒了...

RednaxelaFX

浏览: 3039583 次
性别:
来自: 海外

最近访客更多访客>>

a380285

leon916

duyudeai

北风norther

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Anti-virus

Windows 浏览器 Microsoft 配置管理

诶,我昨天晚上肯定是做了什么不该做的事...或者是上了什么不该上的站?
昨晚没关机就睡觉了.早上一起床,打开浏览器感觉有点不对,然后到移动硬盘的根目录看了一下...一打开我就后悔了: 我是双击打开的,而且在驱动器根目录看到了经典的autorun.inf/auto.exe...
一想这下可完了.马上换到其它驱动器看,果然也有.尝试直接删除它们,没用,删除后马上又会新建一个一样的出来.尝试用attrib解除隐藏和只读属性再删除,

attrib -h -r auto.exe autorun.inf

也没用,也是删除后马上又会再出来.

没办法,只好找找根源了.打开任务管理器浏览了一下当前的进程,没看到特别可疑的,推断是因为中毒之后还没有重启所以还没中得太深.
马上打开注册表(regedit.exe),查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,里面果然多了很多之前没有的项,都分布在WINDOWS目录和WINDOWS\system32目录里.把这些可疑的启动项都删除掉.
这个时候浏览器还是正常的(隐藏文件和系统文件都还能显示出来).转到上面说的两个目录里,按修改时间排序查看文件,发现有好几个exe/dll文件都是在凌晨3点28分创建的.一看就知道是伪物...马上尝试删除,失败.当然啦,因为正在运行中嘛.不过可以确定一点,就是这个病毒属于执行一个exe将自己的一个dll挂到系统进程的类型.知道这点就可以有针对性的对付.

打开FileMon,然后尝试删除任意一个驱动器根目录上的auto.exe.可以看到winlogon.exe在轮询这些病毒文件的存在与否,并在不存在的时候创建出新的.

然后打开WinHex查看winlogon.exe上挂了些什么dll.数量太多,看起来不方便,没看出什么有用的东西.

然后准备出撒手锏了.先打开组策略(gpedit.msc),在"本地计算机"策略->计算机配置->Windows设置->安全设置->软件限制策略->其它规则,把刚才看到觉得可疑的exe/dll全都加进去,作为"不允许的"的路径来禁止它们在下次启动系统后的执行.
接着,打开OllyDbg,附加到winlogon.exe.看了下模块列表,觉得一个叫"9A1DB692"的特别可疑以.搜索所有参考文本串,然后查找autorun.inf,确定到这个就是可恶的病毒.
然后在命令行通过attrib(这时候浏览器已经显示不出隐藏文件了 T T)找到了C:\WINDOWS\System32\9A1DB692.DLL,确认它是毒,并且确保我已经在组策略里添加其为不允许的路径.

然后...按错了键,不小心把OllyDbg给关了.这就连带winlogon.exe也一起关掉,导致Windows直接重启了...

Anyway,情况不是太糟,毕竟已经该禁止的都禁止了.重新启动后的系统已经没有执行那几个可疑的东西,于是autorun.inf和auto.exe删除后也没有再出现.顺便把WINDOWS目录和WINDOWS\system32下的可疑exe/dll一并删除掉.

不过这个时候浏览器的显示还不太正常.隐藏文件不显示.
打开注册表,来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue的值改回为1(先前被病毒改为0了).然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,将CheckedValue改为0.接着到HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache,创建一个字串项@shell32.dll,-30508, 将数据值设为"隐藏受保护的操作系统文件(推荐)"

基本上就OK了...

===============================================

说了半天,干吗不用杀毒软件呢...?
我何尝没用.一发觉不对,我的第一反应是"诶,不裸奔了,装杀毒软件吧".然后装上了在台机上也有装的AVG 7.5.但是这可爱的杀毒软件在杀autorun类型的毒时完全没作用...就在眼皮底下的都能放过去.这才没办法只好手动杀的...

分享到：

解决了个小问题,爽 | 接触Script.NET

2007-11-24 14:19
浏览 2194
评论(3)
查看更多

3 楼 shawind 2007-11-24

双击是坏习惯，还容易伤手指。

2 楼 RednaxelaFX 2007-11-24

引用

最后的附带杀毒？

恩? AVG 7.5是杀毒软件没错...不过我就这么指定它检查那个9A1DB692.DLL它都说没毒,就不能忍了...不过或许标准版能杀吧.

我平时的杀毒果然还是靠手动...郁闷,以后浏览文件夹坚决只用自己写的程序.我明明在组策略里把所有自动播放都禁止了,这些autorun居然还能执行,真是.....=_=

1 楼 lwwin 2007-11-24

最后的附带的杀毒？

＝　＝话说对注册表不熟悉，基本上不成功的话就重灌系统了

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论