淘客熙熙

主题:【原创】可恶的木马病毒 -- wanderer

共:💬100 🌺157
全看分页树展 · 主题 跟帖
家园 我自己遇到vikings病毒的教训

这个vikings病毒我当年还有一段不良的经历,这个是我当时的流水账:

那天一个朋友的laptop中了病毒,一开机windows就蓝屏,硬盘里还有很多数据,所以

不可以用厂家给的恢复盘恢复。于是找我求救。这事情我轻车熟路,拿出一张光盘就开

始引导,啊,不认硬盘?那laptop自己启动的时候怎么找得到那么多文件?连着换了N

多张光盘包括acronis都不认硬盘。估计是toshiba自己有一个硬盘引导程序。于是尝试

用PM分区,分完了,最后弹出个对话框,“分区失败",这回好,连PM都不认了。只好

去修复分区表,修回一个大分区,不过这个分区的磁盘剩余空间为零。接上USB外置硬

盘,系统竟然也不认。想我五年前买的烂HP笔记本还能由外置硬盘启动呢,朋友

的这个2年前2千多美刀买的toshiba satellite的厚度快赶上我的台式机了,整个桌子

都快被他烤糊了。看来没有最烂只有更烂。

看来不能跟BBS的ID学,光骂是没用的。也许只能把硬盘拆下了?我想起半年前买的2.5

'enclosure, 拿出来,没有外接线,仔细一看,接口竟然不是USB是firewire, 家里偏

偏没有firewire,看来以后便宜货不能买了。

俗话说狗急跳墙,人急了脑袋就短路了。我终于恢复了理智,突然拿出一张XP安装盘,

这张盘启动也是不认硬盘的,但能看见硬盘。这回我从故障恢复控制台进去,修复引导

区,成功,然后修复文件系统,也成功了。这次终于能从硬盘进入操作系统了。

刚一进去,就发现系统里面的病毒多的跟家里的蟑螂一样。还不能上网。朋友的机器装

了两个正版杀毒软件,搞笑的是杀毒软件统统被病毒杀死了。

先从task manager里面看看病毒都在哪里,然后重启进入安全模式。先杀病毒文件,把

C:\Documents and Settings下的临时文件目录清空,进入windows和system32目录,用

dir/od列出最近添加的几十个大大小小怪模怪样的exe和dll文件,统统地杀却。

然后是service, 多了两个莫名其妙的服务,一个一堆乱七八糟的字母,一个是runIt!

,也宰了再说。

然后查注入。发现在安全模式下explorer都能被注入两个在InternetExplorer\Plugins

下的东东。一unload的话explorer就会自杀然后重新加载这两个东东。先运行cmd,在

explorer自杀还没活过来的时候在dos下把这两个东东干掉了。

然后是注册表,我们可爱的windows系统真的跟筛子一样。如下这个单子(不全)列出了

一些注册表里的注册项,病毒可以由之于windows启动时加载。

----------------------------------------------------------------------------

-------------------------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute

HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKLM\System\CurrentControlSet\Services\VxD\

HKCU\Control Panel\Desktop

HKLM\System\CurrentControlSet\Services\

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKLM\Software\Microsoft\Internet Explorer\Extensions

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices

HKCU\ftp\shell\open\command

HKCR\ftp\shell\open\command

HKCU\Software\Microsoft\ole

HKCU\Software\Microsoft\Command Processor

HKLM\SOFTWARE\Classes\mailto\shell\open\command

HKCR\PROTOCOLS

HKCU\Control Panel\Desktop

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2

HKLM\SYSTEM\CurrentControlSet\Services\WinSock

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\

Startup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\

StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Command Processor

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility

\Utility Manager registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

俺没有这么夸张,只去了注册表里面几个最常见的病毒藏身之处。然后重新启动,发现

所有的病毒又回来了!

然后我发现我自己的电脑因为和中毒电脑在一个网上也中毒了!

这次我想图省事,懒得查杀病毒浪费时间,所以想PM分区后ghost一个镜像过去,结果

反而不省事。

好在痛定思痛,终于搞定了。不过那个型号竟然在www.toshiabadirect.com上都没有support了,前后的都有,唯独它没有

不过好在只有显卡不认,我从设备管理器里面找到了deviceID和VendorID,哈哈,原来是

ATI Radeon Mobile卡,根据这个从网上找到驱动,世界终于太平了。

这次虽然狼狈了点,但是自己家里的5台电脑只感染了一台,我平时还经常备份,ghost

一下就回来了。朋友的机器我给他装了一个盗版的Windows,他自己原来的文件什么也没

丢,全都找回来了。

关键词(Tags): #vikings#病毒 toshiba
全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河