今天病毒终于制服了!
<P><FONT color=#090809 size=4> 今天电脑突然出现无法打开桌面图标和资源管理器的故障,开始菜单里多数应用程序也无法运行,杀毒软件也杀不出病毒,重装系统也无法排除故障。原来以为非要把所有磁盘格式化,才能解决,这样一来里面的文件也就全丢失了。经过一下午的查找、试验,现在终于解决了这个问题。现将方法介绍给大家,如有遇到这个问题的,可照此方法解决:</FONT></P><P><FONT color=#090809 size=4>现象:双击无法打开桌面图标,也无法打开资源管理器和所有文件夹。</FONT></P><P><FONT color=#090809 size=4>原因:病毒在D驱动器下面写入了一个AutoRun.inf文件,<BR>打开内容如下:(我们在双击D盘的时候,病毒自动运行的信息已经加入了注册表里)<BR><BR>OPEN=D:\command.com</FONT></P><P><FONT color=#090809 size=4>解决方法:.在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到<BR>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗口中找到<BR>“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。<BR></FONT></P> 附:纯手工杀毒(ExERoute.exe,smss.exe病毒查杀办法)<br>前言:最近宰的这木马,确实比较麻烦,以往我大多手工都很快干掉,就这次有点难 ,不过总算干掉了,我觉的还是手工清除比较干净,杀毒软件只能杀些小喽罗 ,只好自己手工干了,去网上查了有关这个木马的很多文章,没一篇是真正可行的,提出的解决方案都不完整,都没实际解决掉。大多中马者,其实最终都没搞懂问题的所在,最后只能重装,所以我写了这次的体会,希望能帮助,有同样问题,而无法解决的朋友。最后还请龙族的朋友,提出意见!! <br><br>近日,好友说自己的电脑(XP SP1系统)被木马病毒整得好累,用咔吧、KV、EWIDO等都没有查出来,只杀掉了一些小喽罗,实在是无法查杀了,准备要重装系统,在重装前让我务必去看一下,还有没有恢复的可能。 <br><br>我去后了解了有以下几个情况:病毒比较狠毒会强行终止多种杀毒软件的进程,使其不能正常运行,这个病毒而且很狡猾通过Autorun.inf运行病毒程序,从而使病毒交叉感染,修改注册表为病毒添加自启动项目,由于病毒的Autorun.inf文件不具备病毒特征,因此不会被杀毒软件清除。病毒的自我保护能力很顽强。 <br><br>(我现在把整个情况完整的叙述一遍,关键词:smss.exe,AutoRun.inf,command.com) <br><br>病毒是这样开始发作的: <br><br>开机~~~~~~~~ <br><br>一.图标,和任务栏都没有只剩下个桌面背景,鼠标还能用,但你无论左键点,还是右键点都没有什么响应。 <br>此问题要先解决:否者就没下一步情况了,呵呵!, <br><br>这里首先要讲一下桌面的概念,也许你已经习惯于把桌面等同与你的显示器平面了,其实严格的讲,桌面是一个特殊的explore程序,是操作系统给用户的一个shell。以上第一点的情况我们自己平时也可以做到,不过今天可是病毒做的,那平时怎么做呢?---我们先打开任务管理器,你可以在任务栏上点右键,或者直接按 CTRL+ALT+DEL,然后选择“进程”选项卡。找到explore.exe,然后结束这个进程,系统会给一个警告,告诉你说会有丢失数据的危险,不用管他,然后你会发现你的桌面丢了,你的任务栏没了,你的桌面图标也没了,只剩下你的桌面图片了(实际上桌面图片也没了,但是桌面图片已在你的内存中了,所以你还能看到它),你的鼠标还能用,但你无论左键点,还是右键点都没有什么响应了,ok,good,你的桌面没了。 <br><br>这时怎么操作呢?--用任务管理器,其实你运行的所有程序只不过是一个一个的任务,当然你也可以在任务管理器里实现所有任务的管理,windows提供给我们桌面是为了操作方便。 <br><br>解决方法:(2种方法) <br><br>1.同时按下Ctrl+Alt+Del 键,在打开的windows任务管理器中,选择“文件”菜单,选择“新建任务(运行)”项,然后在打开的窗口中输入 explorer ,回车之后就又出现了windows的桌面了。 <br><br>2. 同时按下键盘上的Ctrl、Alt与Del键,打开Windows任务管理器,依次选择“文件新建任务(运行…)”,在弹出的“创建新任务”对话框中选择“浏览”,在打开的“浏览”窗口中用鼠标右键任意点选一个文件夹,在弹出菜单中选择“资源管理器”,这时系统会弹出错误提示窗口,同时你会发现任务栏与桌面图标都奇迹般的恢复正常了。 <br><br>好!我们继续————- <br><br>二.现在任务栏与桌面图标都恢复正常了,但是发现了D盘双击无法打开了,要点右键才能打开,另点右键可以看到"自动播放",D盘下有个 command.com[隐藏文件](D盘根目录下有一个Autorun.inf的文件,里面加载了Command.com这个程序) <br>三.病毒在D驱动器下面写入了一个AutoRun.inf文件,打开内容如下:(我们在双击D盘的时候,病毒自动运行的信息已经加入了注册表里) <br><br> <br>OPEN=D:\\command.com <br><br>解决方法:以上2点情况现在暂时无法清楚干净(AutoRun.inf和command.com现在删除后,刷新下就马上又有了,查找HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\D\\后面是正常的,没有发现Shell\\command\\此键值。),等下再告诉你清除方法。 <br><br>不过我们现在先要把硬盘遭到的“埋伏”给去掉,可以先禁止硬盘AutoRun功能。 <br><br>(2种方法)------> <br><br>1.在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到 <br><br>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Exploer主键下,在右侧窗口中找到 <br><br>“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。 <br><br>2.使用组策略一次性全部关闭自动播放功能: <br>① 点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口; <br>② 在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”; <br>③ 选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。 <br><br>在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 <br><br>好!现在双击可以打开D盘,右键没有看到"自动播放"了,不过AutoRun.inf和command.com现在还删除不掉(删除后,刷新下就马上又有了)还是等下再告诉你清除方法。 <br><br>四.在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",我点确定后,还是无法看见隐藏的文件和文件夹,电脑总是保持不显示隐藏文件和文件夹的状态,就是说,文件夹选项都不让修改。而且在注册表里把 <br>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL <br>"CheckedValue" =1。我把CheckedValue" = 的数值改为1(CheckedValue键值项当时已被病毒改为0),不过也没用。 <br><br>怎么办呢?? <br><br>解决方法:(2种方法) <br><br>1.把下面的信息(我增加了几条,务求完全修复)保存为*REG文件(2000/XP),然后导入 <br>Windows Registry Editor Version 5.00 <br> <br>"Text"="隐藏文件和文件夹" <br>"Type"="group" <br>"Bitmap"="C:\\\\WINNT\\\\system32\\\\shell32.dll,4" <br>"HelpID"="shell.hlp#51131" <br><br> <br>"RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced" <br>"Text"="不显示隐藏的文件和文件夹" <br>"Type"="radio" <br>"CheckedValue"=dword:00000002 <br>"ValueName"="Hidden" <br>"DefaultValue"=dword:00000002 <br>"HKeyRoot"=dword:80000001 <br>"HelpID"="shell.hlp#51104" <br><br> <br>"RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced" <br>"Text"="显示所有文件和文件夹" <br>"Type"="radio" <br>"CheckedValue"=dword:00000001 <br>"ValueName"="Hidden" <br>"DefaultValue"=dword:00000002 <br>"HKeyRoot"=dword:80000001 <br>"HelpID"="shell.hlp#51105" <br><br> <br>"Type"="checkbox" <br>"Text"="隐藏已知文件类型的扩展名" <br>"HKeyRoot"=dword:80000001 <br>"RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced" <br>"ValueName"="HideFileExt" <br>"CheckedValue"=dword:00000001 <br>"UncheckedValue"=dword:00000000 <br>"DefaultValue"=dword:00000001 <br>"HelpID"="shell.hlp#51101" <br><br> <br>"Type"="checkbox" <br>"Text"="隐藏受保护的操作系统文件(推荐)" <br>"WarningIfNotDefault"="@shell32.dll,-28964" <br>"HKeyRoot"=dword:80000001 <br>"RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced" <br>"ValueName"="ShowSuperHidden" <br>"CheckedValue"=dword:00000000 <br>"UncheckedValue"=dword:00000001 <br>"DefaultValue"=dword:00000000 <br>"HelpID"="shell.hlp#51103" <br> <br> <br>@="" <br><br>2.去别的没感染病毒的电脑上把此段注册表的数据导出来,再导入到这台电脑。 <br><br>好,现在可以显示所有文件及文件夹了! <br><br>五.现在进程里有2个SMSS.exe,(有一个在windows下是病毒) <br>解决方法:现在暂时无法清楚干净(C:\\windows\\SMSS.exe现在用工具杀掉,这里刷新下就马上又有了,而且直接在安全模式下就会注入进程),还是等下再告诉你清除方法。 <br><br>六.在注册表里发现以下---> 不正常的地方(还有别的地方不对,我先不一一去找了): <br>RUN下面:TProgram C:\\WINDOWS\\smss.exe <br><br> <br>"Shell"="Explorer.exe 1 <br><br>七.运行MSCONFIG,在启动里去掉C:\\WINDOWS\\smss.exe前面的√,不过刷新下就马上又√起来了,晕~~~~~~~ <br>解决方法:现在以上6.7点情况暂时无法清除干净,(删掉,这里刷新下就马上又有了,我把"Shell"="Explorer.exe 1改为"Shell"="Explorer.exe,马上又被改回去 ),病毒的自我保护能力很顽强,安全模式下删除这些文件,异常的注册表项,用HijackThis 扫描了后,修复了异常,可是重启后病症都又回来了。怎么办呢?? <br><br>还是等下再告诉你清除方法。呵呵~~~ <br><br>八.不过,我们现在得先做以下重要的2步(防止在干掉对方前,先给对方干掉了,嘿嘿!) <br><br>1.运行 输入cmd 输入netstat -an 查看下自己的端口是不是正常的,如发现有不正常的情况,先把不正常的端口给关闭了,防患于未燃,先关闭危险的端口。 <br><br>2.删除XP网络共享(运行cmd-->net share 看看) <br><br>(有关以上2点的文章,论坛里有很多,偶也传了几贴,可以去参考下) <br>九.接着来~~~~ <br><br>耐心点看下去~~~ <br>想了几天~~~~ 去摆渡,GOOGLE找了多天,那些有点相似的问题,提供的方法都没用,这个时候那些病毒木马的杀手啊、大师啊、杀客啊、专家啊、克星啊、清道夫啊等等,都没用了,帮不了我们,现在只有用我们自己的菜刀(手工)来砍啦~~~~~ <br><br>怎么办呢?? <br><br>难道真的没办法了,我都想累了。。。。。。 <br><br>为什么,删除后重启都还在呢?? <br><br>分析原因: <br><br>这个病毒首先是具有很强的复制能力,由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。 而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中, 几乎没有办法手动完全关闭病毒进程。而且这个病毒很顽强,它释放了很多病毒文件,还修改了很多注册表信息,而我肯定不止这一个病毒,肯定还有好多个,我还不知道它们躲在哪里?它们 <br>在互相配合和我较量。 <br><br>好多个?????那到底还有几个呢?????哇噻!我怎么没想到呀,我们还有把照妖镜呢————用搜索! <br>现在我查了下smss.exe,AutoRun.inf,command.com,这3个文件的生成日期都是2006.02.20。 <br><br>好!就去查找创建日期是2006.02.20的所有文件,都找出来了,首先给它们排个队,拍张集体照(漏了一个,补上AutoRun.inf)。哈哈! <br><br>现在是我们干掉它们的时候啦,不过,在干掉它们之前先给他们打个包(用压缩备份,做成样品以后再慢慢研究吧,我估计用强大的UltraEdit 肯定会发现反病毒信息和病毒自我保护的信息现在是用到3把“利刃”的时候了:Windows进程管理器v3.70(还有把Icesword v1.12 v3.70 冰刃太厉害,我只用来查了下进程,没发现有隐藏的进程) killbox SREng 。 <br><br> 现在进入安全模式,用Windows进程管理器把smss.exe给关掉,接着用killbox把smss.exe杀掉,其余的"集体照里的成员"你看看能直接删除就删除,不能的就用killbox杀!!好了都杀掉了。 <br><br> 哦,对了还有一点我当时发现EXE文件关联被破坏了,运行--CMD--ASSOC .EXE,发现.EXE=WindowFiles,所以当时无法运行“3把利刃”,我把它们的后缀EXE暂时改为COM,才运行以来,如果COM文件关联也被破坏,那我们就只好先做这一步,先把文件关联给修复好。 <br><br>解决方法:(2种方法) <br><br>1.注册表编辑器打开后,找到以下分支: <br>HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command <br>双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] <br><br>再找到: <br>HKEY_CLASSES_ROOT\\.exe <br>双击右侧窗口中的 (默认) 值,设置为 exefile <br>(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!) <br>然后退出注册表编辑器 <br><br>2.使用安全模式下的命令行工具来还原.EXE文件的关联(在安全模式下修复率要高点,不在安全模式下修复也可以) <br>开始->运行->输入"cmd",回车 打开命令提示符窗口 <br>在命令行中,依次执行以下命令: <br>ftype exefile="%1" %* [包含引号] <br>assoc .exe=exefile (assoc与.exe之间有一空格!) <br>exit <br><br>修复完成,很简单吧? <br>(如还不行,那是病毒进程又恢复了,可能我们还没把那张"集体照里的成员"给全部同时干掉,病毒又把关联给改了,我们可以先用SREng,把SREng主程序的后缀EXE暂时改为COM,就可以运行修复文件关联) <br><br>好,接下来我们要手工修复注册表,主要是修复被病毒木马改掉的键值,和自启动项目,删除危险的项。(有关手工修复注册表的详细情况,我就不一一赘诉了,论坛里有好多有关的文章,偶也传了几贴,你可以去看看,真的不行就找个注册表修复之类的软件,有很多) <br><br>最后用SREng 再修复一下,生成日志,看后保存起来。在去看看进程~~~C:\\WINDOWS\\smss.exe是不是真的没啦!!! <br><br>在这里总结下本次杀毒的体会: <br>如果发现了电脑有异常情况,用杀毒软件查杀后, <br><br>1.是去进程里看下有无异常的程序在运行, <br>2.去运行msconfig,看看有无异常的启动 <br>3.去查查 <br>"Torjan Program"="%Windows%\\smss.exe" <br>修改下 <br>"shell"="Explorer.exe 1" <br>为 <br>"shell"="Explorer.exe" <br><br>对了还有一点我当时发现EXE文件关联被破坏了,运行--CMD--ASSOC .EXE,发现.EXE=WindowFiles,所以当时无法运行“3把利刃”,我把它们的后缀EXE暂时改为COM,才运行以来,如果COM文件关联也被破坏,那我们就只好先做这一步,先把文件关联给修复好。 <br><br>解决方法:(2种方法) : 我是用木马防线 修复的 <br><br>1.注册表编辑器打开后,找到以下分支: <br>HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command <br>双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] <br><br>再找到: <br>HKEY_CLASSES_ROOT\\.exe <br>双击右侧窗口中的 (默认) 值,设置为 exefile <br>(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!) <br>然后退出注册表编辑器 <br><br>2.使用安全模式下的命令行工具来还原.EXE文件的关联(在安全模式下修复率要高点,不在安全模式下修复也可以) <br>开始->运行->输入"cmd",回车 打开命令提示符窗口 <br>在命令行中,依次执行以下命令: <br>ftype exefile="%1" %* [包含引号] <br>assoc .exe=exefile (assoc与.exe之间有一空格!) <br>exit <br><br>重启,再用 杀毒 软件 和 木马防线 查一遍 看看木马是不是没有了 <br><br>这个木马自我修复能力很强,一定要删掉它的很多备份就是上面提到的要删除的那些文件 <br><br>所以关闭病毒进程后,查下所有 那个 木马 文件 生成 日期的 文件,可疑的(221k)都删除 <br><br>发现很多 221k 的 文件,而且 日期都是同一个 (病毒发作 当天 或是 前几天)而且多半在 windows 目录下( <br><br>windows 或 winnt 是 xp 或是2k 的默认 目录,也是可执行文件的 默认路径) <br><br>包括 msconfig.com <br><br>command.com <br><br>regedit.com <br><br>dxdiag.com <br><br>a.com <br><br>上面这些文件都是 病毒(木马)给自己的替身,强啊,运行 regedit 不会发现异常(常用的 exe文件 它都做了个 <br><br>.com的文件,当然这个.com 是个 处理过的文件,是个批处理文件 先复制病毒文件,在运行病毒文件 <br><br>然后再运行 正常的文件) <br><br>其实这个病毒发作一个症状就是 exe 文件是不能执行的(可以通过上面讲的办法恢复回来,不过如果你要运行 <br><br>exe 文件怎么办呢,很简单,把那个文件 改成 .com 的就是了,恢复 exe 可以执行后,再改回来) <br><br>以前 有个广外 女生的木马也是这样) <br><br>然后 发现一个 病毒的 窝: 在windows 或是 winnt(win2000默认是 winnt 目录)下发现 一个 debug 的目录 <br><br>这个就是 这个木马的大本营了,里面还发现了 类似 password.log 文件,就是记录你电脑 的密码文件,再 发送回 <br><br>某个地方的,可怕啊 <br><br>到此 ,这个 木马基本在控制范围里面的 <br><br>删干净 这些 文件 目录 恢复 exe 文件的身份 <br><br>特别提示这个木马 目前似乎 杀毒软件都 查不到(因为都被木马换了替身,替身在杀毒软件起来之前,自己先起来,这样就可以保护好自己了) <br> <br> <STRONG><FONT size=4>妈妈哎!你这不是写天书吗?</FONT></STRONG> 俺用GHOST,一经发现病毒立即恢复一遍系统就可以了。 @%#@!*&&¥#@……(%##!@)*%¥¥# 天哪,这不是天书也和天书差不多了! 需要慢慢研究,研究出来就上台阶了。 <P align=center><BR><IMG src="/attachments/Upfiles/20072311404353.jpg"><BR><BR>原文由 愚公 发表: <STRONG><FONT size=4>妈妈哎!你这不是写天书吗?</FONT></STRONG> </P> <P>原文由 孤雁 发表: 俺用GHOST,一经发现病毒立即恢复一遍系统就可以了。 </P><P>熊猫烧香病毒,用GHOST解决不了问题。当时没有专杀软件,也只好用这个方法,现在有了专杀软件,就方便多了。最近又出现一个金猪病毒,据说更厉害,不知有没有解决办法。</P> <P><STRONG><FONT size=2>真好!!!今天收获不小!!!谢谢风萧萧无私的奉献!!!</FONT></STRONG></P><P><BR><IMG src="/attachments/Upfiles/200725103317897.gif"><BR><BR><BR></P> 难度相当大,一般人搞不了! <FONT size=7>迷糊了!蒙了!傻了!晕了!要我命哪这是</FONT> <P>原文由 水中游泳的鱼 发表: 需要慢慢研究,研究出来就上台阶了。 </P><P>对</P><P> </P> 还是研究游泳吧~~~~~ 原文由 马刺 发表: 还是研究游泳吧~~~~~ 还是学习一点好啊
页:
[1]