收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 黑客技术 > 病毒漏洞 > 正文

灰鸽子和武汉男生类木马病毒处理办法

来源:互联摘选 日期:2006-09-06 02:25

    因为此类木马采用注入系统进程的方式,一旦感染,普通杀毒很难处理干净,且病毒加载方式较为隐蔽。所以总结一些方法与大家分享。

    根据用户反映现在主要集中两种情况:
    1、 瑞星只能部分发现并杀掉病毒,但杀完后再杀,或每次重启后监控又会报病毒,(有时候也会出现杀毒失败情况,多是DLL文件),这种情况主要是由于查杀掉的并不是病毒母体文件,母体不断释放病毒体造成。如出现这种情况,可能根据用户情况让其下载听诊器诊断提取,如用户对电脑操作较熟练或很着急处理,可带其根据附件1中的说明,找到启动时加载了的病毒母体文件名,手工删除(删除方法见后)。

    2、 瑞星能发现全部病毒体,有的可能清除,有的删除失败,删除失败的多是注入系统进程(如explorer.exe,winlogon.exe)的DLL动态链接库文件,可以在结束相应进程后,进行杀毒或手工删除文件解决。

手工删除方法:
建议先进入安全模式,对2000/XP系统,可以在任务管理器里结束explorer.exe 进程,从“文件”-“新建任务”启动瑞星主程序杀毒,然后重启explorer.exe进程,找到病毒文件删除。
对注入其他系统进程如winlogon.exe,或有些情况下(多发生在9X系统下)结束explorer.exe发生死机或重启,建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。
DOS下命令:
cd c:\windows\system32
attrib -r-s-h msapi.exe
attrib -r-s-h msapi.dll
del msapi.exe
del msapi.dll
把其中删除文件名换成相应病毒文件名即可。
删除完文件最好再删除一下注册表中相应的启动项,检查注册表中键值做一下修复,包括一些文件关联如.exe和.txt及IE默认设置。
附1系统启动加载病毒文件的方式


一、当前用户专有的启动文件夹

  这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。

二、对所有用户有效的启动文件夹

  这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。

三、Load注册键

  介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。

四、Userinit注册键

  位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。

五、Explorer\Run注册键

  和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

六、RunServicesOnce注册键

  RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

七、RunServices注册键

  RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。

八、RunOnce\Setup注册键

  RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。

九、RunOnce注册键

  安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。

十、Run注册键

  Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。

 

(2)通过System.ini和Win.ini文件 加载

  System.ini(位置C:\windows\)

  [boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。

  [boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。

  Win.ini(位置C:\windows\)

  [windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。

  [windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。

  解决办法:

  执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。


附件2
安装和使用XP控制台
    Windows 恢复控制台的功能是帮助基于 Windows 的计算机在未正确启动或根本无法启动时进行恢复操作。 在安全模式和其他启动方法都无效时,您可以考虑使用恢复控制台。 仅对高级用户(能够使用基本命令确定并找到有问题的驱动程序和文件)建议使用此方法。 此外,还要求您是本地管理员。在此我们介绍一点关于控制台的知识。
如何安装恢复控制台:
您可以在计算机上安装恢复控制台,在您无法重新启动 Windows 时使用。 启动时可以从现有操作系统的列表中选择恢复控制台选项。 对于重要的服务器和 IT 员工的工作站最好安装恢复控制台。 本文介绍了如何为您的 Windows XP 计算机安装恢复控制台。 您必须具有该计算机的管理权,才能安装恢复控制台。

安装恢复控制台的步骤:
    您可以直接从 Windows XP CD 引导运行恢复控制台,但是更便捷的方法是设置恢复控制台为引导菜单上的启动选项。 要直接从 CD 引导运行,参见下文中的“使用恢复控制台”部分。
要安装恢复控制台,请执行下面的步骤: 将 Windows XP CD 插入 CD-ROM 驱动器。单击开始,然后单击运行。
在打开框中,键入 d :\i386\winnt32.exe /cmdcons,此处 d 是 CD-ROM 驱动器的驱动器号。
出现说明恢复控制台选项的 Windows 安装对话框。 系统提示您确认安装。 单击是开始安装过程。
重新启动计算机。 下次启动计算机时,您将在引导菜单上看到“Microsoft Windows Recovery Console”项。
备注: 您也可以通过网络共享点使用 UNC 安装恢复控制台。

使用恢复控制台:
    您可以启用和禁用服务、格式化驱动器、读写本地驱动器(包括使用 NT 文件系统 (NTFS) 格式的驱动器)上的数据,还可以执行许多其他管理任务。 在您需要从磁盘或 CD-ROM 上复制文件到硬盘上修复计算机,或者重新配置导致计算机无法正常启动的服务时,恢复控制台更能发挥作用。
如果您无法启动计算机,可以从 Microsoft Windows XP 启动盘或从 Windows XP CD-ROM 运行恢复控制台。 本文章介绍如何执行此任务。
当您的计算机安装了 Windows XP 后,您需要使用 Windows XP 启动盘或Windows XP CD-ROM 启动计算机和使用恢复控制台。
有关如何创建 Windows XP 的启动盘(独立于 Windows XP)的其他信息,单击下面的文章编号查看 Microsoft 知识库中的文章:
Q310994Obtaining Windows XP Setup Boot Disks(获取 Windows XP 安装启动盘)
备注: 要从 Windows XP CD-ROM 启动计算机,您需要配置计算机的基本输入/输出系统(BIOS)才能从 CD-ROM 驱动器引导。
要从 Windows XP 启动盘或 Windows XP CD-ROM 运行恢复控制台,请按照下列步骤操作:
将 Windows XP 启动盘插入软盘驱动器或将 Windows XP CD-ROM 插入 CD-ROM 驱动器,然后重新启动计算机。
按提示,单击选中从 CD-ROM 驱动器启动计算机所需的选项。
出现“欢迎使用安装程序”屏幕时,按 R 键启动恢复控制台。
如果您使用的是双引导或多引导计算机,请选择需要从恢复控制台访问的系统安装。
按提示,键入管理员密码。 如果管理员密码为空,只需按 ENTER 键。
在命令提示处,键入相应的命令诊断和修复 Windows XP 的安装。
要查看用于恢复控制台的命令列表,请在命令提示处键入 recovery console commands 或 help ,然后按 ENTER 键。
要查看特定命令的信息,请在命令提示处键入 help 命令名,然后按 ENTER 键。
要退出恢复控制台并重新启动计算机,请在命令提示处键入 exit,然后按 ENTER 键。
 

使用恢复控制台命令提示符:
恢复控制台所使用的特殊命令提示符不同于与普通的 Windows 命令提示符。 恢复控制台有自己的命令解释程序。 按恢复控制台的提示键入管理员(本地管理员,不是域管理员)密码,才能进入其命令解释程序。
恢复控制台启动时,可以按 F6 键安装访问 SCSI 或 RAID 硬盘所需的第三方 SCSI 或 RAID 驱动程序。 此提示的作用与安装操作系统过程中的作用相同。
恢复控制台需要几分钟后启动。 出现恢复控制台菜单时,会显示一个带编号的列表,列出本计算机上安装的所有 Windows(通常仅有一项 -c:\Windows-exists)。 即使在只有一项的情况下,也要键入一数字再按 ENTER 键。 如果您在按 ENTER 键之前没有选择数字,计算机将重新启动并重复此过程。
当您看到 %SystemRoot% 的提示(通常是 C:\Windows)时,可以开始使用恢复控制台中的命令。

恢复控制台中命令操作:
以下列表介绍了可在恢复控制台中使用的命令:
Attrib 更改文件或子目录的属性。
Batch 执行您在文本文件、Inputfile 中指定的命令,Outputfile 存储命令的输出结果。 如果忽略 Outputfile 参数,输出结果将显示在屏幕上。
Bootcfg 用于对 Boot.ini 文件(设置引导配置和恢复)进行操作。
CD (Chdir) 的操作仅限于当前 Windows 安装的系统目录,可移动媒体,所有硬盘分区的根目录,或本地安装源。
Chkdsk 即使驱动器没有标志为有问题,/p 开关也会运行 Chkdsk 。 /r 开关查找到坏的扇区并恢复可读信息,此开关包含 /p 的功能。 Chkdsk 要求 Autochk。 Chkdsk 在启动(或引导)文件夹中自动查找 Autochk.exe 文件。 如果 Chkdsk 在启动文件夹中未查找到此文件,将查找 Windows 2000 安装 CD-ROM。 如果 Chkdsk 未能找到安装 CD-ROM,Chkdsk 提示向用户询问 Autochk.exe 文件的位置。
Cls 清除屏幕。
Copy 将文件复制到目标位置。 在默认情况下,目标位置不能是可移动媒体,也不能使用通配符。 从 Windows 2000 安装 CD-ROM 复制压缩文件会自动将该文件解压缩。
Del (Delete) 删除文件。 操作范围限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 默认情况下不能使用通配符。
Dir 显示所有文件的列表,包括隐藏文将和系统文件。
Disable 禁用 Windows 系统服务或驱动程序。 变量 service _or_ driver 是您希望禁用的服务或驱动程序的名称。 您使用此命令禁用一项服务时,在将类型改变为 SERVICE_DISABLED 之前,计算机会显示该服务的原有启动类型。 请您记下原有启动类型,以便您能使用 enable 命令重新启动该服务。
Diskpart 管理硬盘上的分区。 /add 选项创建新的分区, /delete 选项删除现有的分区。 变量 device 是新分区的设备名(例如 \device\harddisk0)。 变量 drive 是您要删除的分区的驱动器号(例如,D),partition 是您要删除分区的特定名称(例如: \device\harddisk0\partition1) 并可被用于代替 drive 变量。 变量 size 就是新分区的大小(以兆字节计)。
Enable 启用 Windows 系统服务或驱动程序。 变量 service_or_driver 是您希望启用的服务或驱动程序的名称,start_type 是启用服务的启动类型。 启动类型使用下列格式之一:
SERVICE_BOOT_START
SERVICE_SYSTEM_START
SERVICE_AUTO_START
SERVICE_DEMAND_START
Exit 退出恢复控制台,然后重新启动计算机。
Expand 展开一个压缩文件。 变量 source 是您希望展开的文件,默认情况下您不能使用通配符字符。 变量 destination 是新文件的目录,默认情况下,目标不能是可移动媒体,也不能是只读,您可以使用 attrib 命令去除目标目录的只读属性。 当源文件含多个文件时,要求使用选项 /f:filespec,此选项允许使用通配符。 /y 开关禁用覆盖确认提示。 /d 开关指定这些文件不应展开并显示源文件中的文件目录。
Fixboot 在系统分区上写入新的引导扇区。
Fixmbr 修复引导分区的主引导代码。 变量 device 是一个可选名称,指定需要新 MBR 的设备,如果目标是引导设备可以忽略此变量。
Format 格式化磁盘。 /q 参数执行快速格式化,/fs 参数指定文件系统。
Help 如果您没有使用命令变量指定命令, help 列出恢复控制台支持的所有命令。
Listsvc 显示计算机上所有可用服务和驱动程序。
Logon 显示检测到的 Windows 安装并请求用于这些安装的本地管理员的密码。 使用此命令可以转至另一安装或子目录。
Map 显示当前使用中的设备映射。 包含 arc 选项,指定使用高级 RISC 计算 (ARC) 路径(Boot.ini 的格式),而不用 Windows 设备路径。
MD (Mkdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。
More/Type 在屏幕上显示指定的文本文件(例如,文件名)。
Rd (Rmdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。
Ren (Rename) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 您不能指定新的驱动器或路径作为目标。
Set 显示并设置控制台环境变量。
Systemroot 设定当前目录为 %SystemRoot% 。


恢复控制台的规则:
使用恢复控制台时,会用到一些环境规则。 键入 set 查看当前的环境。 默认情况下的规则如下:
AllowAllPaths = FALSE ,禁止访问进入恢复控制台时所选的系统安装之外的目录和子目录。
AllowRemovableMedia = FALSE ,禁止将可移动媒体作为复制文件的目标。
AllowWildCards = FALSE ,禁止在命令中使用通配符支持,例如 copy 或 del 命令。
NoCopyPrompt = FALSE ,意味着当您覆盖现有文件时,恢复控制台会提示您确认。
如何删除恢复控制台:
若要删除恢复控制台,请按照下列步骤操作:
重新启动您的计算机,单击开始,单击我的电脑,然后双击恢复控制台所在的硬盘。
在工具菜单上,单击文件夹选项,然后单击查看选项卡。
单击“显示隐藏文件和文件夹”,单击清除“隐藏受保护的操作系统文件”复选框,然后单击确定。
在根文件夹处,删除 Cmdcons 文件夹和 Cmldr 文件。
在根文件夹处,右键单击 Boot.ini 文件,然后单击属性。
单击清除只读复选框,然后单击确定。
警告: 错误修改 Boot.ini 文件可能会导致您的计算机无法重新启动。 请确认您只删除了恢复控制台的项。 此外,在完成此过程后,建议您将 Boot.ini 文件的属性改回只读状态。 在 Microsoft Windows 记事本中打开 Boot.ini 文件,删除恢复控制台项。 文件类似如下显示:
C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons
保存并关闭该文件。
在无人参与的安装过程中安装控制台
在无人参与的 Windows 安装过程中安装恢复控制台需要使用 Cmdlines.txt 文件。设置无人参与的 Windows 安装并在 cmdlines.txt 文件中加入下行:
" 路径 \winnt32 /cmdcons /unattend" (包括引号)
此处路径 是 Winnt32.exe 程序文件的路径。 解析完 Cmdlines.txt 文件后,恢复控制台将在 Windows 无人参与的安装的后端进行安装。

推荐阅读

 

热点信息

 
强悍的草根IT技术社区,这里应该有您想要的!
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号