这是流氓会武术,谁也挡不住啊。从另外一方面想,我不让病毒随机器启动运行也行。msconfig,查看系统服务和启动。在系统服务中隐藏掉微软服务,将那些服务禁止掉。启动里面,清理调未知的。重启,尝试删除那两个文件,依然再生,看来,病毒建立了驱动或者服务了,那需要工具了--SRENG。软件我就不介绍了,很好的工具。(只是我给作者反馈信息不理我,抑郁啊。)运行后,查看启动项,可以发现AppInit_DLLs被大量修改,还有就是Image File Execution Options中大量安全软件被处理,所以大部分的杀软无法启动了。
AppInit_DLLs AppInit_DLLs 是启动项是初始化动态链接库 ,但是有病毒通过修改AppInit_DLLs来执行 ,通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. 让病毒在安全模式下也能运行。 Image File Execution Options,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options,病毒通过修改该处键值,实现误导某些可执行程序的路径。比如说,在这个下面添加一个360safe.exe,然后将其键植改为virus.exe,那么我们在运行360safe时,实际上执行的是virus.exe!这个叫映像劫持!通常被病毒利用来阻止杀毒软件的运行。 通常病毒实现随系统启动的办法除了上面提到的两种方式,还有: 1、注册表项:RUN 2、注册表项:Userinit 3、作为服务启动 4、作为驱动启动
这里就可以找到那些文件,一个一个的DEL。本来想那么作,后来没有,我想,这些事情还是交给杀软去做吧。用SRENG按shift连续选择,将他们给del掉。删了,乖乖,刷新后还有,难道病毒会重写回去呢。放弃,我想还是得用杀毒软件来杀了,我尽力了。 无意间,我查看了下SRENG扫描出来的日志,我发现一些可疑的东西,==================================
正在运行的进程
[PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\mdimon.dll] [Microsoft Corporation, 11.3.1897.0]
[C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll] [Microsoft Corporation, 11.3.1897.0]
[PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] [Microsoft Corporation, 7.00.9466]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
[PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\System32\HBDNF.dll] [N/A, ]
[PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt] [N/A, ]
[C:\WINDOWS\TEMP\textfont.dat] [N/A, ]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\TEMP\WowInitcode.dat] [N/A, ]
[PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe] [N/A, ]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE] [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 1908 / Administrator][C:\WINDOWS\explorer.exe] [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
这个日志比以前的日志好看多了,以前的日志每个进程的dll链接库一大排,看得眼晕。
很多安全工具都有扫描日志功能。通过查看各个进程调用的DLL动态连接库,来确定那一些是非正常的dll。比如说厂商,路径。
几乎每一个进程都有一个DLL文件:HBDNF.dll!估计这个文件有鬼。我要删掉他,但大部分的进程都在使用那个文件,如何是好?对了,有一个工具:unlocker!下载,运行,接锁进程,依然删不掉,但是有一个选择,重启后删除。那就重启后删除吧
如果文件正在被使用,是无法删除的。方法有一些: 1、利用工具软件,很多,unlocker,文件粉碎器等一些删除文件的工具。 2、DOS下删除。 3、修改文件的NTFS权限,阻止所有人访问。 4、XCOPY替换。等等
重启后,再次运行SRENG,删除Image File Execution Options,删了依然还有,但我发现新出来的项和刚删除来的不一样,估计是SRENG没有将所有的都显示出来?不管了,再删吧,重复了5 ,6遍,终于删完了。接下来的事情,就是下载杀毒软件来查杀了。(如果不删除Image File Execution Options,这些杀软是无法运行的。)
手杀软件还是很辛苦的,有很多病毒会下载大量的木马,那一个个删费事费力,最终还是要使用杀毒软件来处理。要让杀毒软件跑起来,那就得把那些阻扰杀软运行的障碍清除掉。推荐在安全模式下运行杀软
完,也许语句组织的不好,因为病毒给杀掉了后才做的,也没截图,见谅见谅。为什么用NOD?免费半年。。。
9 7 3 1 2 4 8 :
本文来源:不详 作者:佚名