主题:【原创】可恶的木马病毒 -- wanderer
这个vikings病毒我当年还有一段不良的经历,这个是我当时的流水账:
那天一个朋友的laptop中了病毒,一开机windows就蓝屏,硬盘里还有很多数据,所以
不可以用厂家给的恢复盘恢复。于是找我求救。这事情我轻车熟路,拿出一张光盘就开
始引导,啊,不认硬盘?那laptop自己启动的时候怎么找得到那么多文件?连着换了N
多张光盘包括acronis都不认硬盘。估计是toshiba自己有一个硬盘引导程序。于是尝试
用PM分区,分完了,最后弹出个对话框,“分区失败",这回好,连PM都不认了。只好
去修复分区表,修回一个大分区,不过这个分区的磁盘剩余空间为零。接上USB外置硬
盘,系统竟然也不认。想我五年前买的烂HP笔记本还能由外置硬盘启动呢,朋友
的这个2年前2千多美刀买的toshiba satellite的厚度快赶上我的台式机了,整个桌子
都快被他烤糊了。看来没有最烂只有更烂。
看来不能跟BBS的ID学,光骂是没用的。也许只能把硬盘拆下了?我想起半年前买的2.5
'enclosure, 拿出来,没有外接线,仔细一看,接口竟然不是USB是firewire, 家里偏
偏没有firewire,看来以后便宜货不能买了。
俗话说狗急跳墙,人急了脑袋就短路了。我终于恢复了理智,突然拿出一张XP安装盘,
这张盘启动也是不认硬盘的,但能看见硬盘。这回我从故障恢复控制台进去,修复引导
区,成功,然后修复文件系统,也成功了。这次终于能从硬盘进入操作系统了。
刚一进去,就发现系统里面的病毒多的跟家里的蟑螂一样。还不能上网。朋友的机器装
了两个正版杀毒软件,搞笑的是杀毒软件统统被病毒杀死了。
先从task manager里面看看病毒都在哪里,然后重启进入安全模式。先杀病毒文件,把
C:\Documents and Settings下的临时文件目录清空,进入windows和system32目录,用
dir/od列出最近添加的几十个大大小小怪模怪样的exe和dll文件,统统地杀却。
然后是service, 多了两个莫名其妙的服务,一个一堆乱七八糟的字母,一个是runIt!
,也宰了再说。
然后查注入。发现在安全模式下explorer都能被注入两个在InternetExplorer\Plugins
下的东东。一unload的话explorer就会自杀然后重新加载这两个东东。先运行cmd,在
explorer自杀还没活过来的时候在dos下把这两个东东干掉了。
然后是注册表,我们可爱的windows系统真的跟筛子一样。如下这个单子(不全)列出了
一些注册表里的注册项,病毒可以由之于windows启动时加载。
----------------------------------------------------------------------------
-------------------------------------
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\
Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\
StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility
\Utility Manager registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders
俺没有这么夸张,只去了注册表里面几个最常见的病毒藏身之处。然后重新启动,发现
所有的病毒又回来了!
然后我发现我自己的电脑因为和中毒电脑在一个网上也中毒了!
这次我想图省事,懒得查杀病毒浪费时间,所以想PM分区后ghost一个镜像过去,结果
反而不省事。
好在痛定思痛,终于搞定了。不过那个型号竟然在www.toshiabadirect.com上都没有support了,前后的都有,唯独它没有
不过好在只有显卡不认,我从设备管理器里面找到了deviceID和VendorID,哈哈,原来是
ATI Radeon Mobile卡,根据这个从网上找到驱动,世界终于太平了。
这次虽然狼狈了点,但是自己家里的5台电脑只感染了一台,我平时还经常备份,ghost
一下就回来了。朋友的机器我给他装了一个盗版的Windows,他自己原来的文件什么也没
丢,全都找回来了。
- 相关回复 上下关系8
🙂偏执无补于辩论 1 minotaur 字605 2007-09-24 01:07:55
🙂你俩水平都很高,但我建议还是就事论事,不论人。 瓦斯 字114 2007-09-24 05:21:17
🙂看来我们公司的IT是比较低水平了 夏雨 字121 2007-09-24 00:13:08
🙂我自己遇到vikings病毒的教训
🙂推荐一个免费小工具,同时在杀毒时应该断开网络 2 njpower 字310 2007-09-19 14:17:20
🙂其实裸奔可以的,上网就用Firefox 罗博 字90 2007-09-20 02:35:16