天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

系统中毒:一次病毒手杀记录

2009-2-24不详佚名

    这是流氓会武术,谁也挡不住啊。从另外一方面想,我不让病毒随机器启动运行也行。msconfig,查看系统服务和启动。在系统服务中隐藏掉微软服务,将那些服务禁止掉。启动里面,清理调未知的。重启,尝试删除那两个文件,依然再生,看来,病毒建立了驱动或者服务了,那需要工具了--SRENG。软件我就不介绍了,很好的工具。(只是我给作者反馈信息不理我,抑郁啊。)运行后,查看启动项,可以发现AppInit_DLLs被大量修改,还有就是Image File Execution Options中大量安全软件被处理,所以大部分的杀软无法启动了。

     AppInit_DLLs AppInit_DLLs 是启动项是初始化动态链接库 ,但是有病毒通过修改AppInit_DLLs来执行 ,通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. 让病毒在安全模式下也能运行。   Image File Execution Options,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options,病毒通过修改该处键值,实现误导某些可执行程序的路径。比如说,在这个下面添加一个360safe.exe,然后将其键植改为virus.exe,那么我们在运行360safe时,实际上执行的是virus.exe!这个叫映像劫持!通常被病毒利用来阻止杀毒软件的运行。   通常病毒实现随系统启动的办法除了上面提到的两种方式,还有: 1、注册表项:RUN 2、注册表项:Userinit 3、作为服务启动 4、作为驱动启动

        这里就可以找到那些文件,一个一个的DEL。本来想那么作,后来没有,我想,这些事情还是交给杀软去做吧。用SRENG按shift连续选择,将他们给del掉。删了,乖乖,刷新后还有,难道病毒会重写回去呢。放弃,我想还是得用杀毒软件来杀了,我尽力了。

          无意间,我查看了下SRENG扫描出来的日志,我发现一些可疑的东西,==================================
    正在运行的进程
    [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.1897.0]
        [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 11.3.1897.0]
    [PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  [Microsoft Corporation, 7.00.9466]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll]  [Microsoft Corporation, 7.00.9466]
    [PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe]  [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\System32\HBDNF.dll]  [N/A, ]
    [PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt]  [N/A, ]
        [C:\WINDOWS\TEMP\textfont.dat]  [N/A, ]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\TEMP\WowInitcode.dat]  [N/A, ]
    [PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe]  [N/A, ]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE]  [Smallfrogs Studio, 2.7.0.1210]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
    [PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE]  [Smallfrogs Studio, 2.7.0.1210]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]
    [PID: 1908 / Administrator][C:\WINDOWS\explorer.exe]  [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
        [C:\WINDOWS\system32\HBDNF.dll]  [N/A, ]
        [C:\WINDOWS\system32\appwinproc.dll]  [N/A, ]

    这个日志比以前的日志好看多了,以前的日志每个进程的dll链接库一大排,看得眼晕。


     很多安全工具都有扫描日志功能。通过查看各个进程调用的DLL动态连接库,来确定那一些是非正常的dll。比如说厂商,路径。

    几乎每一个进程都有一个DLL文件:HBDNF.dll!估计这个文件有鬼。我要删掉他,但大部分的进程都在使用那个文件,如何是好?对了,有一个工具:unlocker!下载,运行,接锁进程,依然删不掉,但是有一个选择,重启后删除。那就重启后删除吧

      如果文件正在被使用,是无法删除的。方法有一些: 1、利用工具软件,很多,unlocker,文件粉碎器等一些删除文件的工具。 2、DOS下删除。 3、修改文件的NTFS权限,阻止所有人访问。 4、XCOPY替换。等等

    重启后,再次运行SRENG,删除Image File Execution Options,删了依然还有,但我发现新出来的项和刚删除来的不一样,估计是SRENG没有将所有的都显示出来?不管了,再删吧,重复了5 ,6遍,终于删完了。接下来的事情,就是下载杀毒软件来查杀了。(如果不删除Image File Execution Options,这些杀软是无法运行的。)

   手杀软件还是很辛苦的,有很多病毒会下载大量的木马,那一个个删费事费力,最终还是要使用杀毒软件来处理。要让杀毒软件跑起来,那就得把那些阻扰杀软运行的障碍清除掉。推荐在安全模式下运行杀软

    完,也许语句组织的不好,因为病毒给杀掉了后才做的,也没截图,见谅见谅。为什么用NOD?免费半年。。。

   

9 7 3 1 2 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行