诶,我昨天晚上肯定是做了什么不该做的事...或者是上了什么不该上的站?
昨晚没关机就睡觉了.早上一起床,打开浏览器感觉有点不对,然后到移动硬盘的根目录看了一下...一打开我就后悔了: 我是[b][color=red]双击[/color][/b]打开的,而且在驱动器根目录看到了经典的autorun.inf/auto.exe...
一想这下可完了.马上换到其它驱动器看,果然也有.尝试直接删除它们,没用,删除后马上又会新建一个一样的出来.尝试用attrib解除隐藏和只读属性再删除,
[code]attrib -h -r auto.exe autorun.inf[/code]
也没用,也是删除后马上又会再出来.
没办法,只好找找根源了.打开任务管理器浏览了一下当前的进程,没看到特别可疑的,推断是因为中毒之后还没有重启所以还没中得太深.
马上打开注册表(regedit.exe),查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,里面果然多了很多之前没有的项,都分布在WINDOWS目录和WINDOWS\system32目录里.把这些可疑的启动项都删除掉.
这个时候浏览器还是正常的(隐藏文件和系统文件都还能显示出来).转到上面说的两个目录里,按修改时间排序查看文件,发现有好几个exe/dll文件都是在凌晨3点28分创建的.一看就知道是伪物...马上尝试删除,失败.当然啦,因为正在运行中嘛.不过可以确定一点,就是这个病毒属于执行一个exe将自己的一个dll挂到系统进程的类型.知道这点就可以有针对性的对付.
打开FileMon,然后尝试删除任意一个驱动器根目录上的auto.exe.可以看到winlogon.exe在轮询这些病毒文件的存在与否,并在不存在的时候创建出新的.
然后打开WinHex查看winlogon.exe上挂了些什么dll.数量太多,看起来不方便,没看出什么有用的东西.
然后准备出撒手锏了.先打开组策略(gpedit.msc),在"本地计算机"策略->计算机配置->Windows设置->安全设置->软件限制策略->其它规则,把刚才看到觉得可疑的exe/dll全都加进去,作为"不允许的"的路径来禁止它们在下次启动系统后的执行.
接着,打开OllyDbg,附加到winlogon.exe.看了下模块列表,觉得一个叫"9A1DB692"的特别可疑以.搜索所有参考文本串,然后查找autorun.inf,确定到这个就是可恶的病毒.
然后在命令行通过attrib(这时候浏览器已经显示不出隐藏文件了 T T)找到了C:\WINDOWS\System32\9A1DB692.DLL,确认它是毒,并且确保我已经在组策略里添加其为不允许的路径.
然后...按错了键,不小心把OllyDbg给关了.这就连带winlogon.exe也一起关掉,导致Windows直接重启了...
Anyway,情况不是太糟,毕竟已经该禁止的都禁止了.重新启动后的系统已经没有执行那几个可疑的东西,于是autorun.inf和auto.exe删除后也没有再出现.顺便把WINDOWS目录和WINDOWS\system32下的可疑exe/dll一并删除掉.
不过这个时候浏览器的显示还不太正常.隐藏文件不显示.
打开注册表,来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue的值改回为1(先前被病毒改为0了).然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,将CheckedValue改为0.接着到HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache,创建一个字串项@shell32.dll,-30508, 将数据值设为"隐藏受保护的操作系统文件(推荐)"
基本上就OK了...
===============================================
说了半天,干吗不用杀毒软件呢...?
我何尝没用.一发觉不对,我的第一反应是"诶,不裸奔了,装杀毒软件吧".然后装上了在台机上也有装的AVG 7.5.但是这可爱的杀毒软件在杀autorun类型的毒时完全没作用...就在眼皮底下的都能放过去.这才没办法只好手动杀的...
昨晚没关机就睡觉了.早上一起床,打开浏览器感觉有点不对,然后到移动硬盘的根目录看了一下...一打开我就后悔了: 我是[b][color=red]双击[/color][/b]打开的,而且在驱动器根目录看到了经典的autorun.inf/auto.exe...
一想这下可完了.马上换到其它驱动器看,果然也有.尝试直接删除它们,没用,删除后马上又会新建一个一样的出来.尝试用attrib解除隐藏和只读属性再删除,
[code]attrib -h -r auto.exe autorun.inf[/code]
也没用,也是删除后马上又会再出来.
没办法,只好找找根源了.打开任务管理器浏览了一下当前的进程,没看到特别可疑的,推断是因为中毒之后还没有重启所以还没中得太深.
马上打开注册表(regedit.exe),查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,里面果然多了很多之前没有的项,都分布在WINDOWS目录和WINDOWS\system32目录里.把这些可疑的启动项都删除掉.
这个时候浏览器还是正常的(隐藏文件和系统文件都还能显示出来).转到上面说的两个目录里,按修改时间排序查看文件,发现有好几个exe/dll文件都是在凌晨3点28分创建的.一看就知道是伪物...马上尝试删除,失败.当然啦,因为正在运行中嘛.不过可以确定一点,就是这个病毒属于执行一个exe将自己的一个dll挂到系统进程的类型.知道这点就可以有针对性的对付.
打开FileMon,然后尝试删除任意一个驱动器根目录上的auto.exe.可以看到winlogon.exe在轮询这些病毒文件的存在与否,并在不存在的时候创建出新的.
然后打开WinHex查看winlogon.exe上挂了些什么dll.数量太多,看起来不方便,没看出什么有用的东西.
然后准备出撒手锏了.先打开组策略(gpedit.msc),在"本地计算机"策略->计算机配置->Windows设置->安全设置->软件限制策略->其它规则,把刚才看到觉得可疑的exe/dll全都加进去,作为"不允许的"的路径来禁止它们在下次启动系统后的执行.
接着,打开OllyDbg,附加到winlogon.exe.看了下模块列表,觉得一个叫"9A1DB692"的特别可疑以.搜索所有参考文本串,然后查找autorun.inf,确定到这个就是可恶的病毒.
然后在命令行通过attrib(这时候浏览器已经显示不出隐藏文件了 T T)找到了C:\WINDOWS\System32\9A1DB692.DLL,确认它是毒,并且确保我已经在组策略里添加其为不允许的路径.
然后...按错了键,不小心把OllyDbg给关了.这就连带winlogon.exe也一起关掉,导致Windows直接重启了...
Anyway,情况不是太糟,毕竟已经该禁止的都禁止了.重新启动后的系统已经没有执行那几个可疑的东西,于是autorun.inf和auto.exe删除后也没有再出现.顺便把WINDOWS目录和WINDOWS\system32下的可疑exe/dll一并删除掉.
不过这个时候浏览器的显示还不太正常.隐藏文件不显示.
打开注册表,来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue的值改回为1(先前被病毒改为0了).然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,将CheckedValue改为0.接着到HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache,创建一个字串项@shell32.dll,-30508, 将数据值设为"隐藏受保护的操作系统文件(推荐)"
基本上就OK了...
===============================================
说了半天,干吗不用杀毒软件呢...?
我何尝没用.一发觉不对,我的第一反应是"诶,不裸奔了,装杀毒软件吧".然后装上了在台机上也有装的AVG 7.5.但是这可爱的杀毒软件在杀autorun类型的毒时完全没作用...就在眼皮底下的都能放过去.这才没办法只好手动杀的...
3061
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
