诶,我昨天晚上肯定是做了什么不该做的事...或者是上了什么不该上的站?
昨晚没关机就睡觉了.早上一起床,打开浏览器感觉有点不对,然后到移动硬盘的根目录看了一下...一打开我就后悔了: 我是
双击打开的,而且在驱动器根目录看到了经典的autorun.inf/auto.exe...
一想这下可完了.马上换到其它驱动器看,果然也有.尝试直接删除它们,没用,删除后马上又会新建一个一样的出来.尝试用attrib解除隐藏和只读属性再删除,
attrib -h -r auto.exe autorun.inf
也没用,也是删除后马上又会再出来.
没办法,只好找找根源了.打开任务管理器浏览了一下当前的进程,没看到特别可疑的,推断是因为中毒之后还没有重启所以还没中得太深.
马上打开注册表(regedit.exe),查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,里面果然多了很多之前没有的项,都分布在WINDOWS目录和WINDOWS\system32目录里.把这些可疑的启动项都删除掉.
这个时候浏览器还是正常的(隐藏文件和系统文件都还能显示出来).转到上面说的两个目录里,按修改时间排序查看文件,发现有好几个exe/dll文件都是在凌晨3点28分创建的.一看就知道是伪物...马上尝试删除,失败.当然啦,因为正在运行中嘛.不过可以确定一点,就是这个病毒属于执行一个exe将自己的一个dll挂到系统进程的类型.知道这点就可以有针对性的对付.
打开FileMon,然后尝试删除任意一个驱动器根目录上的auto.exe.可以看到winlogon.exe在轮询这些病毒文件的存在与否,并在不存在的时候创建出新的.
然后打开WinHex查看winlogon.exe上挂了些什么dll.数量太多,看起来不方便,没看出什么有用的东西.
然后准备出撒手锏了.先打开组策略(gpedit.msc),在"本地计算机"策略->计算机配置->Windows设置->安全设置->软件限制策略->其它规则,把刚才看到觉得可疑的exe/dll全都加进去,作为"不允许的"的路径来禁止它们在下次启动系统后的执行.
接着,打开OllyDbg,附加到winlogon.exe.看了下模块列表,觉得一个叫"9A1DB692"的特别可疑以.搜索所有参考文本串,然后查找autorun.inf,确定到这个就是可恶的病毒.
然后在命令行通过attrib(这时候浏览器已经显示不出隐藏文件了 T T)找到了C:\WINDOWS\System32\9A1DB692.DLL,确认它是毒,并且确保我已经在组策略里添加其为不允许的路径.
然后...按错了键,不小心把OllyDbg给关了.这就连带winlogon.exe也一起关掉,导致Windows直接重启了...
Anyway,情况不是太糟,毕竟已经该禁止的都禁止了.重新启动后的系统已经没有执行那几个可疑的东西,于是autorun.inf和auto.exe删除后也没有再出现.顺便把WINDOWS目录和WINDOWS\system32下的可疑exe/dll一并删除掉.
不过这个时候浏览器的显示还不太正常.隐藏文件不显示.
打开注册表,来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue的值改回为1(先前被病毒改为0了).然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN,将CheckedValue改为0.接着到HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache,创建一个字串项@shell32.dll,-30508, 将数据值设为"隐藏受保护的操作系统文件(推荐)"
基本上就OK了...
===============================================
说了半天,干吗不用杀毒软件呢...?
我何尝没用.一发觉不对,我的第一反应是"诶,不裸奔了,装杀毒软件吧".然后装上了在台机上也有装的AVG 7.5.但是这可爱的杀毒软件在杀autorun类型的毒时完全没作用...就在眼皮底下的都能放过去.这才没办法只好手动杀的...
分享到:
相关推荐
目 录 网络安全介绍 医院网络特性 正确使用医院网络设备 电脑中毒特征 第一部分 第二部分 第三部分 第四部分 全国网络安全宣传活动课件之医院网络安全培训全文共25页,当前为第2页。 网络安全介绍 第一部分 全国...
独创U盘写入保护,切断病毒传播路径提升U盘传输速度,读写次数达8万以上智能U盘病毒免疫,永不中毒。 全程自动 一键搞定 一键全自动完成启动U盘制作彻底抛弃光驱和光盘,携带更方便经过上百种U盘测试,安全放心。 ...
V3000系列可谓是一款经典系列,具有大方的外观、适中的价格、不错的性价比等优点,吸引了众多购买者的眼光(偶也是中毒者~),但这款散热做的却不尽人意,若用上一年半载风扇上积累了灰尘后,散热效果就更差了,...
简介︰当你不小心误删了重要数据,或是硬盘/随身碟故障、中毒、格式化造成数据遗失, 甚至当你将记忆卡/随身碟插入计算机时显示「未格式化」,常会让人欲哭无泪。 这时候你需要一套好用的数据救援软件来帮你抢救回...
当你的电脑中毒时,双击我的电脑跳出的是一个选择运行的框而不是窗口...那么运行这个文件就能解决你的问题```
用U盘装系统的操作全程图解.pdfU盘启动系统盘对网络管理人员很重要,对于很多办公室电脑用户来说,一般现代的组装电脑,为了节约成本都没有配置独立的光驱,而常在网上飘,哪有不中毒的呢?电脑中毒了,除了杀毒外,...
本人的朗科U盘从一部计算机中复制了文件后拔下,U盘的数据已塞满,插入另外一部因为有异常现象的计算机中突然发生了需要格式化的提示事件,以为中毒了,按下格式化竟然无法格式化,放到一部有杀毒软件的笔记本上尝试...
利用本工具将快速设置网上通用的吉利车机安装方法,笔记本操作时所需要的网络环境和一些其他配置,并能在安装完成软件时一键还原到最初状态,不影响笔记本和车机其他的任何功能。 需要注意的是,本软件因为用到几条...
邮件、QQ、飞信等网络传输软件的监控 邮件的收发服务器都有记录备份,QQ、飞信都有实时的流量监控,以防止数据大量往外发送 笔记本电脑硬盘加密程序的安装 需经常出差的笔记本电脑都安装硬盘加密程序,如设备在出差...
于延长笔记本电脑电池使用时间也是十分有利的,因为这样做 可以减少访问“耗电大户”。内存支持最小 512MB RAM,推荐 1 GB 或更高,支持类型SDRAM、DDR等。Plus 在标准版的基础 上增加了多磁盘支持,镜像备份等功能...
使用RAM 驱动器技术对于延长笔记本电脑电池使用时间也是十分有利的,因为这样做可以减少访问“耗电大户”。内存支持最小 512MB RAM,推荐1 GB 或更高,支持类型SDRAM、DDR等。Plus 在标准版的基础上增加了多磁盘支持...
通过比较修复前后的输出,我们还能够检测包含网络后门触发器的中毒图像。 用法 在Colab上运行 要在colab上运行它,只需单击与ipynb文件关联的链接。 您可以将其保存在Google驱动器上,也可以在打开网页上的文件后...