一次手动杀毒的经历
在客户这里做项目,发现客户给我的计算机上面在打开分区的时候,会另开一个窗口打开,查看了系统的文件夹选项,并将其还原为默认设置。发现情况依然,很明显,这台机器中毒了,磁盘下有autorun.inf这个东西!
一些典型的症状:
1、双击磁盘分区无法打开分区,提示找不到某某程序
2、双击响应速度变慢。
3、在新窗口打开
谨慎的通过在地址栏输入c:\等方式进入分区根目录。不要双击或右键哦!尝试显示隐藏文件和系统文件,诶,这个病毒居然没有修改文件夹的hidden的注册表项,可以显示系统文件和隐藏文件。果然,在每个分区根目录下面有两个隐藏的文件:autorun.inf和system.dll,但是没有.exe的可执行文件,有点奇怪。查看autorun.inf的内容:
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
我不太了解这些语法,从字面意义上看,时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的,反正一句话,如果不是自定义的autorun.inf都是不正常的。
尝试删除这两个文件,马上,3秒钟,这两个文件又生成了,说明有进程在监控这两个文件,删除了就补回来。尝试先建一个同名的文件抑制再生,就是建立一个同名的文件夹,根据windows文件建立规则,同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件,重新建立。囧,看了那些抑制病毒再生的工具也可以退伍咯。
打开任务管理器,发现有一些莫名进程,是一些数字和.txt,比如说3***.txt,进程不是都是.exe的么?不解,不管他了。结束掉,结束掉发现该进程并未再次生成。再次尝试删除那两个文件,依然如此,看来,我得知道是谁在生成那两个文件了。下载Filemon,这个软件微软的网站有下,我从skycn下的,别人修改过的filemon居然绑了流氓软件,什么上网助手啊,幸好是可以选择不安装。运行后,在过滤器里面添上过滤标志autorun.inf。发现居然是svchost在读写这个文件。右键选择进程,查看进程位置,c:\windows\system32。找到那个文件后,查看文件属性,Microsoft出品...,强行结束掉一个svchost,弹出提示要关机,赶忙输入shutdown -a停止自动关机。我预计这个文件被感染了,或者被利用了。这可如何是好。
打开IE,以autorun.inf svchost system.dll搜索下相关信息,发现还是有一些的有人中了的,一打开那个网页,糟糕,网页给杀掉了,这病毒作者,学了很多东西嘛。这里我有一个想法啊,能不能让标题栏不显示网页的title啊。这样网页就不会给杀掉了。
这是流氓会武术,谁也挡不住啊。从另外一方面想,我不让病毒随机器启动运行也行。msconfig,查看系统服务和启动。在系统服务中隐藏掉微软服务,将那些服务禁止掉。启动里面,清理调未知的。重启,尝试删除那两个文件,依然再生,看来,病毒建立了驱动或者服务了,那需要工具了--SRENG。软件我就不介绍了,很好的工具。(只是我给作者反馈信息不理我,抑郁啊。)运行后,查看启动项,可以发现AppInit_DLLs被大量修改,还有就是Image File Execution Options中大量安全软件被处理,所以大部分的杀软无法启动了。
这里就可以找到那些文件,一个一个的DEL。本来想那么作,后来没有,我想,这些事情还是交给杀软去做吧。用SRENG按shift连续选择,将他们给del掉。删了,乖乖,刷新后还有,难道病毒会重写回去呢。放弃,我想还是得用杀毒软件来杀了,我尽力了。
无意间,我查看了下SRENG扫描出来的日志,我发现一些可疑的东西,==================================
正在运行的进程
[PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\mdimon.dll] [Microsoft Corporation, 11.3.1897.0]
[C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll] [Microsoft Corporation, 11.3.1897.0]
[PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] [Microsoft Corporation, 7.00.9466]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
[PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\System32\HBDNF.dll] [N/A, ]
[PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt] [N/A, ]
[C:\WINDOWS\TEMP\textfont.dat] [N/A, ]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\TEMP\WowInitcode.dat] [N/A, ]
[PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe] [N/A, ]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE] [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
[PID: 1908 / Administrator][C:\WINDOWS\explorer.exe] [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
这个日志比以前的日志好看多了,以前的日志每个进程的dll链接库一大排,看得眼晕。
几乎每一个进程都有一个DLL文件:HBDNF.dll!估计这个文件有鬼。我要删掉他,但大部分的进程都在使用那个文件,如何是好?对了,有一个工具:unlocker!下载,运行,接锁进程,依然删不掉,但是有一个选择,重启后删除。那就重启后删除吧
重启后,再次运行SRENG,删除Image File Execution Options,删了依然还有,但我发现新出来的项和刚删除来的不一样,估计是SRENG没有将所有的都显示出来?不管了,再删吧,重复了5 ,6遍,终于删完了。接下来的事情,就是下载杀毒软件来查杀了。(如果不删除Image File Execution Options,这些杀软是无法运行的。)
完,也许语句组织的不好,因为病毒给杀掉了后才做的,也没截图,见谅见谅。为什么用NOD?免费半年。。。
