主题：【原创】可恶的木马病毒 -- wanderer

这个vikings病毒我当年还有一段不良的经历,这个是我当时的流水账：

那天一个朋友的laptop中了病毒，一开机windows就蓝屏，硬盘里还有很多数据，所以

不可以用厂家给的恢复盘恢复。于是找我求救。这事情我轻车熟路，拿出一张光盘就开

始引导，啊，不认硬盘？那laptop自己启动的时候怎么找得到那么多文件？连着换了N

多张光盘包括acronis都不认硬盘。估计是toshiba自己有一个硬盘引导程序。于是尝试

用PM分区，分完了，最后弹出个对话框，“分区失败"，这回好，连PM都不认了。只好

去修复分区表，修回一个大分区，不过这个分区的磁盘剩余空间为零。接上USB外置硬

盘，系统竟然也不认。想我五年前买的烂HP笔记本还能由外置硬盘启动呢，朋友

的这个2年前2千多美刀买的toshiba satellite的厚度快赶上我的台式机了，整个桌子

都快被他烤糊了。看来没有最烂只有更烂。

看来不能跟BBS的ID学，光骂是没用的。也许只能把硬盘拆下了？我想起半年前买的2.5

'enclosure, 拿出来，没有外接线，仔细一看，接口竟然不是USB是firewire, 家里偏

偏没有firewire,看来以后便宜货不能买了。

俗话说狗急跳墙，人急了脑袋就短路了。我终于恢复了理智，突然拿出一张XP安装盘，

这张盘启动也是不认硬盘的，但能看见硬盘。这回我从故障恢复控制台进去，修复引导

区，成功，然后修复文件系统，也成功了。这次终于能从硬盘进入操作系统了。

刚一进去，就发现系统里面的病毒多的跟家里的蟑螂一样。还不能上网。朋友的机器装

了两个正版杀毒软件，搞笑的是杀毒软件统统被病毒杀死了。

先从task manager里面看看病毒都在哪里，然后重启进入安全模式。先杀病毒文件，把

C:\Documents and Settings下的临时文件目录清空，进入windows和system32目录，用

dir/od列出最近添加的几十个大大小小怪模怪样的exe和dll文件，统统地杀却。

然后是service, 多了两个莫名其妙的服务，一个一堆乱七八糟的字母，一个是runIt!

，也宰了再说。

然后查注入。发现在安全模式下explorer都能被注入两个在InternetExplorer\Plugins

下的东东。一unload的话explorer就会自杀然后重新加载这两个东东。先运行cmd,在

explorer自杀还没活过来的时候在dos下把这两个东东干掉了。

然后是注册表，我们可爱的windows系统真的跟筛子一样。如下这个单子(不全)列出了

一些注册表里的注册项，病毒可以由之于windows启动时加载。

----------------------------------------------------------------------------

-------------------------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute

HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKLM\System\CurrentControlSet\Services\VxD\

HKCU\Control Panel\Desktop

HKLM\System\CurrentControlSet\Services\

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKLM\Software\Microsoft\Internet Explorer\Extensions

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HKLM\SYSTEM\CurrentControlSet\Control\MPRServices

HKCU\ftp\shell\open\command

HKCR\ftp\shell\open\command

HKCU\Software\Microsoft\ole

HKCU\Software\Microsoft\Command Processor

HKLM\SOFTWARE\Classes\mailto\shell\open\command

HKCR\PROTOCOLS

HKCU\Control Panel\Desktop

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2

HKLM\SYSTEM\CurrentControlSet\Services\WinSock

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\

Startup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Classes\Protocols\Handler

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\

StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Command Processor

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility

\Utility Manager registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

俺没有这么夸张，只去了注册表里面几个最常见的病毒藏身之处。然后重新启动，发现

所有的病毒又回来了！

然后我发现我自己的电脑因为和中毒电脑在一个网上也中毒了！

这次我想图省事，懒得查杀病毒浪费时间，所以想PM分区后ghost一个镜像过去，结果

反而不省事。

好在痛定思痛，终于搞定了。不过那个型号竟然在www.toshiabadirect.com上都没有support了，前后的都有，唯独它没有

不过好在只有显卡不认，我从设备管理器里面找到了deviceID和VendorID,哈哈,原来是

ATI Radeon Mobile卡，根据这个从网上找到驱动，世界终于太平了。

这次虽然狼狈了点，但是自己家里的5台电脑只感染了一台，我平时还经常备份,ghost

一下就回来了。朋友的机器我给他装了一个盗版的Windows,他自己原来的文件什么也没

丢，全都找回来了。