系統(tǒng)中毒:一次病毒手殺記錄

在客戶這里做項(xiàng)目，發(fā)現(xiàn)客戶給我的計(jì)算機(jī)上面在打開(kāi)分區(qū)的時(shí)候，會(huì)另開(kāi)一個(gè)窗口打開(kāi)，查看了系統(tǒng)的文件夾選項(xiàng)，并將其還原為默認(rèn)設(shè)置。發(fā)現(xiàn)情況依然，很明顯，這臺(tái)機(jī)器中毒了，磁盤下有autorun.inf這個(gè)東西！
    現(xiàn)在大部分病毒和木馬都通過(guò)在磁盤分區(qū)根目錄下生成Autorun.inf。修改磁盤分區(qū)右鍵菜單的“打開(kāi)”，“自動(dòng)播放”等菜單項(xiàng)的點(diǎn)擊操作，實(shí)現(xiàn)病毒自動(dòng)運(yùn)行。
    一些典型的癥狀：
    1、雙擊磁盤分區(qū)無(wú)法打開(kāi)分區(qū)，提示找不到某某程序
    2、雙擊響應(yīng)速度變慢。
    3、在新窗口打開(kāi)
    謹(jǐn)慎的通過(guò)在地址欄輸入c:\等方式進(jìn)入分區(qū)根目錄。不要雙擊或右鍵哦！嘗試顯示隱藏文件和系統(tǒng)文件，誒，這個(gè)病毒居然沒(méi)有修改文件夾的hidden的注冊(cè)表項(xiàng)，可以顯示系統(tǒng)文件和隱藏文件。果然，在每個(gè)分區(qū)根目錄下面有兩個(gè)隱藏的文件：autorun.inf和system.dll，但是沒(méi)有.exe的可執(zhí)行文件，有點(diǎn)奇怪。查看autorun.inf的內(nèi)容：
    [autorun]
    shell\open\command=rundll32 system.dll,explore
    shell\explore\command=rundll32 system.dll,explore
    我不太了解這些語(yǔ)法，從字面意義上看，時(shí)調(diào)用rundll32 來(lái)調(diào)用這個(gè)syste.dll病毒控件。以前見(jiàn)過(guò)的其他autorun.inf的寫法還有自定義右鍵菜單的，反正一句話，如果不是自定義的autorun.inf都是不正常的。
    Autorun.inf本來(lái)是用在光驅(qū)上實(shí)現(xiàn)光盤自動(dòng)播放的工具。本身無(wú)害，難而很容易被病毒利用以傳播病毒?？梢酝ㄟ^(guò)修改系統(tǒng)組策略禁止驅(qū)動(dòng)器不自動(dòng)播放，防范病毒通過(guò)自動(dòng)播放達(dá)到自動(dòng)運(yùn)行。
    嘗試刪除這兩個(gè)文件，馬上，3秒鐘，這兩個(gè)文件又生成了，說(shuō)明有進(jìn)程在監(jiān)控這兩個(gè)文件，刪除了就補(bǔ)回來(lái)。嘗試先建一個(gè)同名的文件抑制再生，就是建立一個(gè)同名的文件夾，根據(jù)windows文件建立規(guī)則，同一個(gè)目錄下不能有同名的文件或文件夾。結(jié)果病毒自行先刪除那個(gè)文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。
    常見(jiàn)的抑制U盤病毒的工具，就是在U盤下面生成一個(gè)autorun.inf文件夾來(lái)實(shí)現(xiàn)抑制的。這也容易被病毒*。要加強(qiáng)這種方式，可以通過(guò)修改autorun.inf文件夾的NTFS權(quán)限，禁止所有人刪除！
    打開(kāi)任務(wù)管理器，發(fā)現(xiàn)有一些莫名進(jìn)程，是一些數(shù)字和.txt，比如說(shuō)3***.txt，進(jìn)程不是都是.exe的么？不解，不管他了。結(jié)束掉，結(jié)束掉發(fā)現(xiàn)該進(jìn)程并未再次生成。再次嘗試刪除那兩個(gè)文件，依然如此，看來(lái)，我得知道是誰(shuí)在生成那兩個(gè)文件了。下載Filemon，這個(gè)軟件微軟的網(wǎng)站有下，我從skycn下的，別人修改過(guò)的filemon居然綁了流氓軟件，什么上網(wǎng)助手啊，幸好是可以選擇不安裝。運(yùn)行后，在過(guò)濾器里面添上過(guò)濾標(biāo)志autorun.inf。發(fā)現(xiàn)居然是svchost在讀寫這個(gè)文件。右鍵選擇進(jìn)程，查看進(jìn)程位置，c:\windows\system32。找到那個(gè)文件后，查看文件屬性，Microsoft出品...，強(qiáng)行結(jié)束掉一個(gè)svchost，彈出提示要關(guān)機(jī)，趕忙輸入shutdown -a停止自動(dòng)關(guān)機(jī)。我預(yù)計(jì)這個(gè)文件被感染了，或者被利用了。這可如何是好。
    很多病毒的進(jìn)程名要么是不規(guī)則的，要么就是偽裝的，可以通過(guò)工具軟件，找到該可疑進(jìn)程對(duì)應(yīng)的文件的屬性，路徑，廠商來(lái)判斷是不是正常的文件。
    打開(kāi)IE，以autorun.inf svchost system.dll搜索下相關(guān)信息，發(fā)現(xiàn)還是有一些的有人中了的，一打開(kāi)那個(gè)網(wǎng)頁(yè)，糟糕，網(wǎng)頁(yè)給殺掉了，這病毒作者，學(xué)了很多東西嘛。這里我有一個(gè)想法啊，能不能讓標(biāo)題欄不顯示網(wǎng)頁(yè)的title啊。這樣網(wǎng)頁(yè)就不會(huì)給殺掉了。
    很多病毒都通過(guò)鉤子檢查當(dāng)前窗口的標(biāo)題，如果符合一些特征，則將該窗口關(guān)閉。
    這是流氓會(huì)武術(shù)，誰(shuí)也擋不住啊。從另外一方面想，我不讓病毒隨機(jī)器啟動(dòng)運(yùn)行也行。msconfig，查看系統(tǒng)服務(wù)和啟動(dòng)。在系統(tǒng)服務(wù)中隱藏掉微軟服務(wù)，將那些服務(wù)禁止掉。啟動(dòng)里面，清理調(diào)未知的。重啟，嘗試刪除那兩個(gè)文件，依然再生，看來(lái)，病毒建立了驅(qū)動(dòng)或者服務(wù)了，那需要工具了－－SRENG。軟件我就不介紹了，很好的工具。（只是我給作者反饋信息不理我，抑郁啊。）運(yùn)行后，查看啟動(dòng)項(xiàng)，可以發(fā)現(xiàn)AppInit_DLLs被大量修改，還有就是Image File Execution Options中大量安全軟件被處理，所以大部分的殺軟無(wú)法啟動(dòng)了。
    AppInit_DLLs
    AppInit_DLLs 是啟動(dòng)項(xiàng)是初始化動(dòng)態(tài)鏈接庫(kù) ，但是有病毒通過(guò)修改AppInit_DLLs來(lái)執(zhí)行 ，通過(guò)修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]鍵值來(lái)插入病毒.
    讓病毒在安全模式下也能運(yùn)行。
    Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通過(guò)修改該處鍵值，實(shí)現(xiàn)誤導(dǎo)某些可執(zhí)行程序的路徑。比如說(shuō)，在這個(gè)下面添加一個(gè)360safe.exe，然后將其鍵植改為virus.exe，那么我們?cè)谶\(yùn)行360safe時(shí)，實(shí)際上執(zhí)行的是virus.exe！這個(gè)叫映像劫持！通常被病毒利用來(lái)阻止殺毒軟件的運(yùn)行。
    通常病毒實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)的辦法除了上面提到的兩種方式,還有:
    1、注冊(cè)表項(xiàng)：RUN
    2、注冊(cè)表項(xiàng)：Userinit
    3、作為服務(wù)啟動(dòng)
    4、作為驅(qū)動(dòng)啟動(dòng)
    這里就可以找到那些文件，一個(gè)一個(gè)的DEL。本來(lái)想那么作，后來(lái)沒(méi)有，我想，這些事情還是交給殺軟去做吧。用SRENG按shift連續(xù)選擇，將他們給del掉。刪了，刷新后還有，難道病毒會(huì)重寫回去呢。無(wú)意間，我查看了下SRENG掃描出來(lái)的日志，我發(fā)現(xiàn)一些可疑的東西，正在運(yùn)行的進(jìn)程
    [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\mdimon.dll] [Microsoft Corporation, 11.3.1897.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll] [Microsoft Corporation, 11.3.1897.0]
    [PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] [Microsoft Corporation, 7.00.9466]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
    [PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\System32\HBDNF.dll] [N/A, ]
    [PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt] [N/A, ]
    [C:\WINDOWS\TEMP\textfont.dat] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\TEMP\WowInitcode.dat] [N/A, ]
    [PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1908 / Administrator][C:\WINDOWS\explorer.exe] [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    這個(gè)日志比以前的日志好看多了，以前的日志每個(gè)進(jìn)程的dll鏈接庫(kù)一大排，看得眼暈。
    很多安全工具都有掃描日志功能。通過(guò)查看各個(gè)進(jìn)程調(diào)用的DLL動(dòng)態(tài)連接庫(kù)，來(lái)確定那一些是非正常的dll。比如說(shuō)廠商，路徑。
    幾乎每一個(gè)進(jìn)程都有一個(gè)DLL文件：HBDNF.dll！估計(jì)這個(gè)文件有鬼。我要?jiǎng)h掉他，但大部分的進(jìn)程都在使用那個(gè)文件，如何是好？對(duì)了，有一個(gè)工具：unlocker！下載，運(yùn)行，接鎖進(jìn)程，依然刪不掉，但是有一個(gè)選擇，重啟后刪除。那就重啟后刪除吧
    如果文件正在被使用，是無(wú)法刪除的。方法有一些：
    1、利用工具軟件，很多，unlocker，文件粉碎器等一些刪除文件的工具。
    2、DOS下刪除。
    3、修改文件的NTFS權(quán)限，阻止所有人訪問(wèn)。
    4、XCOPY替換。等等
    重啟后，再次運(yùn)行SRENG，刪除Image File Execution Options，刪了依然還有，但我發(fā)現(xiàn)新出來(lái)的項(xiàng)和剛刪除來(lái)的不一樣，估計(jì)是SRENG沒(méi)有將所有的都顯示出來(lái)？不管了，再刪吧，重復(fù)了5 ，6遍，終于刪完了。接下來(lái)的事情，就是下載殺毒軟件來(lái)查殺了。（如果不刪除Image File Execution Options，這些殺軟是無(wú)法運(yùn)行的。）
    手殺軟件還是很辛苦的，有很多病毒會(huì)下載大量的木馬，那一個(gè)個(gè)刪費(fèi)事費(fèi)力，最終還是要使用殺毒軟件來(lái)處理。要讓殺毒軟件跑起來(lái)，那就得把那些阻擾殺軟運(yùn)行的障礙清除掉。推薦在安全模式下運(yùn)行殺軟
    完，也許語(yǔ)句組織的不好，因?yàn)椴《窘o殺掉了后才做的，也沒(méi)截圖，見(jiàn)諒見(jiàn)諒。為什么用NOD?免費(fèi)半年。。。