今天被人叫去整电脑,说是D盘双击打不开。第一反应autorun。进了D盘,地址栏里输入“autorun.inf”,踫出了记事本。。。真的有个autorun.inf在。显示所有文件(包括系统文件),发现除了正常文件和autorun.inf外,多了一个“runauto..”的文件夹,里面是个autorun.pif。。好在我曾经小研究了下批处理,很简单就删掉了。
然后我想在组策略里关闭自动运行,忘了在哪个项目下了,打开浏览器去找,等我找到,组策略窗口居然奇迹般地不见了。。。从网上整了个icesword来,发现是c:\windows\lsass.exe这个东东结束了组策略。。这个应该就是病毒体了吧。。用icesword结束这个进程,然后我很高兴地去找到了lsass.exe删除,弹出被保护,删不掉。。。icesword一看,lsass.exe创建了一个lsass.exe。。。居然在退出代码里加了个启动自身的命令。。。重启到安全模式,还好没有加载,把它删除了,然后组策略里设置好。
重启回到正常模式,我很放心的双击了D盘,因为组策略里设置了嘛。结果D盘是打开了,不过是在一个新窗口里面。。。真想XXX。。组策略里不是设好了吗,打开组策略一看,没错啊,设好了的。唉,我只能感叹现在的病毒作者真会研究,连组策略都能绕过了。。早知道我直接放个autorun.inf的文件夹了。(本来想放的,结果错相信组策略了)
组策略是怎么被绕过的就不管了,也没心情管,写了个批处理,把那些文件处理完毕。算是基本完成吧,不过有点小遗憾,当然不是组策略的绕过了,那个autorun.pif我是相当想保存下来啊,可惜杀毒的时候SB了,没想到怎么能把结尾是两点的文件夹里面的东西拷贝出来。。弄出来了就又多了一个收藏了。。
然后我想在组策略里关闭自动运行,忘了在哪个项目下了,打开浏览器去找,等我找到,组策略窗口居然奇迹般地不见了。。。从网上整了个icesword来,发现是c:\windows\lsass.exe这个东东结束了组策略。。这个应该就是病毒体了吧。。用icesword结束这个进程,然后我很高兴地去找到了lsass.exe删除,弹出被保护,删不掉。。。icesword一看,lsass.exe创建了一个lsass.exe。。。居然在退出代码里加了个启动自身的命令。。。重启到安全模式,还好没有加载,把它删除了,然后组策略里设置好。
重启回到正常模式,我很放心的双击了D盘,因为组策略里设置了嘛。结果D盘是打开了,不过是在一个新窗口里面。。。真想XXX。。组策略里不是设好了吗,打开组策略一看,没错啊,设好了的。唉,我只能感叹现在的病毒作者真会研究,连组策略都能绕过了。。早知道我直接放个autorun.inf的文件夹了。(本来想放的,结果错相信组策略了)
组策略是怎么被绕过的就不管了,也没心情管,写了个批处理,把那些文件处理完毕。算是基本完成吧,不过有点小遗憾,当然不是组策略的绕过了,那个autorun.pif我是相当想保存下来啊,可惜杀毒的时候SB了,没想到怎么能把结尾是两点的文件夹里面的东西拷贝出来。。弄出来了就又多了一个收藏了。。
扫一扫
831
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
