解决方法直接看最底下。
这个木马文件的行为是无限制的下载并自动安装各种流氓软件,届时磁盘占用率达到百分之百,CPU温度过高,且具有自我复制,感染传播、覆写PE文件、修改注册表自启动、结束卡死杀软进程、删除安全软件相关启动项,desktop.ini随意复制等等,今天一直叫做病毒,感谢大佬纠正。(里面的部分行为均由slader执行所带出来的)
木马:
木马没有破坏性,木马主要功能是收集用户信息,控制机器等等.
病毒:
病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染…
整体过程:
A在下载某正规软件时,误打开某P2P引擎,下载绑定的诸多流氓软件以及slader,本来面对流氓软件可以使用卸载工具慢慢搞定,但是slader不断注入新的活力,我接触的时候,电脑桌面已经爆满,且弹窗层层叠叠,磁盘占用率达到百分之百,CPU温度过高,打开磁盘就会逼停C:\Program Files\Internet Explorer导致桌面空白宕机,原装的腾讯电脑管家已经挂了,但面对电脑里由重要唯一信息,我首先结合任务管理器逐个关闭程序和进程,但似乎收效甚微,这时尝试点开电脑管家,已经打不开了,当时还不知道slader,按照捆绑软件的策略进行卸载,于是直接在程序和功能里先卸载了一部分软件,电脑运行有所缓解,打开磁盘,发现很多文件夹的根目录都存在desktop.ini文件意识到应该不只是捆绑,存在木马行为,第一时间拔掉网线,检查传播,因为这里的局域网没有防火墙,很容易悍然感染,但还是为时已晚,旁边的B电脑已经中招了,桌面开始蔓延各种图标,于是给B电脑先断网,为了找到木马文件,我首先怀疑的是随意复制的desktop.ini文件,打开后核对代码没有问题,这就很奇怪,只能再去怀疑某个软件携带,且注册表在卸载时并没有删除(为了先缓解电脑压力),于是从软件走起,又卸载一部分,实在是太多了,手动卸载起码30个,FPTOcr、FZip、酷我音乐、梦蓝记事、热点便笺、水印微管家、小黑记事本、梦幻西游、贪玩热血合击、传奇霸主、虎牙视频,全美仙侠,变态MM修仙:觉醒等等,还有捷豹浏览器,2345各种,搜狗输入法,金山毒霸(话说他也没看见嘛)快压,驱动精灵等等以及一些连名字都没有的软件。尝试关闭启动项,并重启。
这时候,反倒一片天下太平,开机后,弹窗少了,速度快了,就在我以为木马随着那些没名字的流逝了,我删了注册表就OK的时候,电脑完全黑屏,尝试打开任务管理器,也被禁用了,弹出的消息显示的是三键禁用。凉凉!明明开机启动项里没有异常啊, 主要是文件重要,在以前直接都刷机就完了,尝试键盘开启命令行也不行,就是鼠标键盘没反应了,遂强制关机后F8进入安全模式,但是进不去,卡在那里,一动不动,只好关机。再次尝试冷启动,这次还算正常,弹窗很多,但由操作空间,在文件夹里导入CCleaner,腾讯电脑管家,火绒,Uninstall Tool,此时因为卸载的蛮多了,最重要的是没联网,由他们去管,先使用的是电脑管家,在历经一个小时的艰苦扫描,弹窗越来越多,之后我决定关一关,挡视野,但和屏保一样,左上角写的退出,点击之后就会打开莫名的软件,后来我才发现,右上角也写了退出,桌面右下角还贴心的提醒你我们做了什么什么,比如驱动精灵说,我们把驱动更新了,让你点击确认,屁,我都没联网,原来在确认的下方由四个小对勾,对应了四个不同的软件,呵,心机婊,我什么都不点,在经过几十秒之后,勿触点开的那个软件都没显示出东西,一片白花花的在挣扎,桌面崩了,沃日,程序全没了,包括电脑管家,又过了几十秒,桌面出现,这次我什么都不动,就扫描,又过了两个多小时,扫描结束,60个红色危险木马。处理后关机。重启后一片祥和,我就继续开始卸载各种软件,CCleaner结合“程序和功能”一起卸,终于没有了异常程序,运行流畅,桌面干净,但打开CD盘依然各种文件夹存在,开始各个文件删除,大部分都提示不允许删除,本来想安全模式,但电脑管家自带文件粉碎,用这个工具确实能够完全粉碎,推荐好用。D盘的recycle.bin文件作为隐藏目录显示出来,当时没注意,但粉碎不了,才查到这个是系统的文件,之后又用这些软件扫描清理注册表,但始终没有看见slader的踪迹,就在我以为万事大吉的时候。重启插网线,刚开始十几分钟甚至有半个小时一切正常,完全🆗的水平,突然的一个传奇弹窗引起了我的注意,这时桌面依然流畅,且没有多出来的东西,我就好奇从哪里来的,鼠标右键点不开它的目录,就打开进程,不看不要紧,一看又多了几个流氓软件的进程,赶紧看程序,完了,又装上了,就是这次打开我发现了在程序和功能里第一次出现slader,但在CCleaner里却找不到,就在我怀疑这个软件是什么的时候,先进入的软件开始了工作,又一次紧急断网。查找slader,但在哪都找不到,使用everything搜索无果,再次点开程序和功能里也没有了,像个隐藏的斗士,百度之后,发现原来这位是个教父,总体工作流程就是,由slader下载各种流氓软件和木马,然后它就隐藏起来,由木马去衍生木马,由流氓去带流氓进来,使用了网上各种方法无果,最终在论坛看到了它的地址,删除后,再次进行卸载,最终完成,耗时良久。另一台电脑由于文件不重要,老毛桃重装了,重装过程不表。
知识链接:
p2p:
普通的Http下载,所有电脑下载的速度都是固定的4分钟。
当文件输出方的用户达到4个的时候,第五个用户,也就是电脑E,它的下载速度就会降低到1分钟。
打个比方,比如世界上现在一共只有10台电脑,分别叫小A,小B……小J, 他们互相连接着,组成了互联网。
有一天小A得到一份文件,其他九个人都想要,于是小A就把文件复印了九份分别给了其他九个人。
这就是传统下载。
但是其实还能这样,小A先把文件给小B,然后小C想要,
(注意,这个时候小A也可以不把文件给小C让全部文件由小B给小C)
于是小A跟小B分别复印文件的一半同时给小C,以此类推,小D想要文件,那么ABC 三人就把文件分成三份同时给小D。
这就是BT 下载,文件分成的份数越多,下载速度就越快。
以上是理想的BT ,然而现实中由于人们的自私,下载了文件不上传,导致整个互联网只有寥寥2.3个人上传,导致一些BT文件下载也很慢。
接着上面的故事来,文件给了小D(迅雷公司),但是其实小DEFGHI他们六个都是迅雷用户,小D拿到文件后就不会上传了,迅雷用户就在自成一体组了一个BT网络,不把文件上传给非迅雷用户。
所以最后一个小J 在下载文件的时候只能享受到小ABC 给的文件,小D以及小D的用户(EFGHI)都不会把文件传送给小J
而咱们传统下载是从同一个源(即同一个下载地址)下分别接收这些数据块,而P2P则是从不同的下载此文件的用户中接收这些数据块并且你也同时为其它用户提供这些数据块。而P2P中的tracker就是用来告诉你你可以连接到哪些用户获得数据块。
流氓软件:
流氓软件”是介于病毒和正规软件之间的软件,如恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等,这些软件都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰,大家就称这种软件为流氓软件。
explorer.exe:
explorer.exe是Windows程序管理器或者文件资源管理器,它用于管理Windows图形壳,包括桌面和文件管理。删除该程序会导致Windows图形界面无法使用。
注册表:
你了解注册表,不过最好对数据库有所了解。注册表里面所有的信息平时都是由windows操作系统自主管理的,也可以通过软件或手工修改。注册表里面有很多系统的重要信息,包括外设,驱动程序,软件,用户记录等等,注册表在很大程度上“指挥”电脑怎样工作。
注册表有很大的用处,功能非常强大,是windows的核心。通过修改注册表,我们可以对系统进行限制、优化等等。比如我们不想让别人用“开始”菜单,我们可以修改注册表来达到目的。除此之外,还有很多了,你可以参考本手册进行修改,里面的内容很详尽,并随时间而充实。
早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。
为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。
与INI文件不同的是:
1.注册表采用了二进制形式登录数据;
2.注册表支持子键,各级子关键字都有自己的“键值”;
3.注册表中的键值项可以包含可执行代码,而不是简单的字串;
4.在同一台计算机上,注册表可以存储多个用户的特性。
注册表的特点有:
1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。
2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。
3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。
注册表比较复杂,但又安排得非常有条理,能有效地提高工作效率,为系统的维护提供了必要条件。由于注册表是一个二进制的配置数据库文件(Windows的命根子),因而,用户无法直接存取注册表。为了让高级用户能够编辑注册表,Windows2000提供了注册表编辑器“c”和“Regedt32”。对这种只使用Windows提供的注册表编辑器进行编辑的操作。
编辑器在安装Windows时已经被安装到硬盘中了,但是并未在“附件”程序组中建有快捷方式。用户如果需要使用注册表编辑器,可以在“运行”对话框内输入Regedt32或Regedit即可打开注册表编辑器,或者在“命令提示符”中执行Regedt32.exe也可以进入注册表编辑器。
desktop.ini
desktop.ini 是什么文件?
desktop.ini、文件夹图标、文件夹背景、隐藏文件、病毒
由于有部分病毒会在文件夹下创建desktop.ini文件,目前很多朋友对该文件产生了错误的认识,认为是病毒文件。其实这是错误的,
desktop.ini与病毒并没有多深的源源,desktop.ini是系统可识别的一个文件,作用是存储用户对文件夹的个性设置;而病毒所创建的desktop.ini则不同。
desktop.ini 是系统正常文件,用于配置你桌面信息、资源管理器的,在你每个文件夹下都有。正常情况下是隐藏起来的,如果你无意间打开了系统文件隐藏属性,那么他们就会展示出来。
由于有部分病毒会在文件夹下创建desktop.ini文件,目前很多人对该文件产生了不完全错误的认识,认为是病毒文件。其实desktop.ini文件并不属于病毒文件,专业的说,Desktop.ini 文件是系统可识别的一个文件,其作用是存储用户对文件夹的个性设置,比如用户更改了文件夹图标、背景颜色等等,其配置信息都会存入到这个文件夹的 desktop.ini 文件中。
desktop.ini 可以删除吗?
desktop.ini文件属于文件夹的配置文件,用户可以删除,删除后不会影响文件夹,只是会让文件夹恢复为默认设置。
通俗的说,desktop.ini 相当于每个文件夹的控制中心,控制这个文件夹应该使用什么颜色、应该具有什么属性等,默认是可以删除的,但如果你设置修改过文件夹属性,那么删除这个 desktop.ini 配置文件,会导致此前所设置内容失效,重新恢复到默认设置。
desktop.ini 怎样恢复隐藏状态?
可以通过在文件夹选项中找到查看选项,在选项中勾选隐藏受保护的操作系统文件(推荐)然后点击确定,即可实现隐藏。
在重装过程中,桌面都出现了这个,不解。毕竟启动盘我是了解的,当时第一次重装之后,填写邮箱,海内存知己,天涯若比邻, 开机就各种软件,我很好奇。
另外这个是什么,360下单独的地址,两台电脑都有,但都没装过360.
其他木马。
卸载了蛮多之后的图。
解决方法:
不重装的情况下:
1、首先按win键+r键打开运行,输入regedit并按回车键。
2、打开注册表定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
3、找到{b3d4b171-ec10-49a2-d856-2f96d0f2b14a},右键删除即可。
4、使用第三方卸载工作CCleaner,Uninstall Tool或程序和功能卸载捆绑软件,并用腾讯电脑管家,联想电脑管家,火绒等进行扫描杀毒。
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享