第一篇文章
前言:最近宰的这木马,确实比较麻烦,以往我大多手工都很快干掉,就这次有点难 ,不过总算干掉了,我觉的还是手工清除比较干净,杀毒软件只能杀些小喽罗 ,只好自己手工干了,去网上查了有关这个木马的很多文章,没一篇是真正可行的,提出的解决方案都不完整,都没实际解决掉。大多中马者,其实最终都没搞懂问题的所在,最后只能重装,所以我写了这次的体会,希望能帮助,有同样问题,而无法解决的朋友。最后还请龙族的朋友,提出意见!!
近日,好友说自己的电脑(XP SP1系统)被木马病毒整得好累,用咔吧、KV、EWIDO等都没有查出来,只杀掉了一些小喽罗,实在是无法查杀了,准备要重装系统,在重装前让我务必去看一下,还有没有恢复的可能。
我去后了解了有以下几个情况:病毒比较狠毒会强行终止多种杀毒软件的进程,使其不能正常运行,这个病毒而且很狡猾通过Autorun.inf运行病毒程序,从而使病毒交叉感染,修改注册表为病毒添加自启动项目,由于病毒的Autorun.inf文件不具备病毒特征,因此不会被杀毒软件清除。病毒的自我保护能力很顽强。
(我现在把整个情况完整的叙述一遍,关键词:smss.exe,AutoRun.inf,command.com)
病毒是这样开始发作的:
开机~~~~~~~~
一.图标,和任务栏都没有只剩下个桌面背景,鼠标还能用,但你无论左键点,还是右键点都没有什么响应。
此问题要先解决:否者就没下一步情况了,呵呵!,
这里首先要讲一下桌面的概念,也许你已经习惯于把桌面等同与你的显示器平面了,其实严格的讲,桌面是一个特殊的explore程序,是操作系统给用户的一个shell。以上第一点的情况我们自己平时也可以做到,不过今天可是病毒做的,那平时怎么做呢?—我们先打开任务管理器,你可以在任务栏上点右键,或者直接按 CTRL+ALT+DEL,然后选择“进程”选项卡。找到explore.exe,然后结束这个进程,系统会给一个警告,告诉你说会有丢失数据的危险,不用管他,然后你会发现你的桌面丢了,你的任务栏没了,你的桌面图标也没了,只剩下你的桌面图片了(实际上桌面图片也没了,但是桌面图片已在你的内存中了,所以你还能看到它),你的鼠标还能用,但你无论左键点,还是右键点都没有什么响应了,ok,good,你的桌面没了。
这时怎么操作呢?--用任务管理器,其实你运行的所有程序只不过是一个一个的任务,当然你也可以在任务管理器里实现所有任务的管理,windows提供给我们桌面是为了操作方便。
解决方法:(2种方法)
1.同时按下Ctrl+Alt+Del 键,在打开的windows任务管理器中,选择“文件”菜单,选择“新建任务(运行)”项,然后在打开的窗口中输入 explorer ,回车之后就又出现了windows的桌面了。
2. 同时按下键盘上的Ctrl、Alt与Del键,打开Windows任务管理器,依次选择“文件新建任务(运行…)”,在弹出的“创建新任务”对话框中选择“浏览”,在打开的“浏览”窗口中用鼠标右键任意点选一个文件夹,在弹出菜单中选择“资源管理器”,这时系统会弹出错误提示窗口,同时你会发现任务栏与桌面图标都奇迹般的恢复正常了。
好!我们继续————-
二.现在任务栏与桌面图标都恢复正常了,但是发现了D盘双击无法打开了,要点右键才能打开,另点右键可以看到"自动播放",D盘下有个 command.com[隐藏文件](D盘根目录下有一个Autorun.inf的文件,里面加载了Command.com这个程序)
三.病毒在D驱动器下面写入了一个AutoRun.inf文件,打开内容如下:(我们在双击D盘的时候,病毒自动运行的信息已经加入了注册表里)
[autorun]
OPEN=D:\command.com
解决方法:以上2点情况现在暂时无法清楚干净(AutoRun.inf和command.com现在删除后,刷新下就马上又有了,查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\后面是正常的,没有发现Shell\command\此键值。),等下再告诉你清除方法。
不过我们现在先要把硬盘遭到的“埋伏”给去掉,可以先禁止硬盘AutoRun功能。
(2种方法)——>
1.在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗口中找到
“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。
2.使用组策略一次性全部关闭自动播放功能:
① 点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
② 在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
③ 选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。
好!现在双击可以打开D盘,右键没有看到"自动播放"了,不过AutoRun.inf和command.com现在还删除不掉(删除后,刷新下就马上又有了)还是等下再告诉你清除方法。
四.在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",我点确定后,还是无法看见隐藏的文件和文件夹,电脑总是保持不显示隐藏文件和文件夹的状态,就是说,文件夹选项都不让修改。而且在注册表里把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" =1。我把CheckedValue" = 的数值改为1(CheckedValue键值项当时已被病毒改为0),不过也没用。
怎么办呢??
解决方法:(2种方法)
1.把下面的信息(我增加了几条,务求完全修复)保存为*REG文件(2000/XP),然后导入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="隐藏文件和文件夹"
"Type"="group"
"Bitmap"="C:\\WINNT\\system32\\shell32.dll,4"
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="不显示隐藏的文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="checkbox"
"Text"="隐藏已知文件类型的扩展名"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="HideFileExt"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51101"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="隐藏受保护的操作系统文件(推荐)"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\Do
ntShowSuperHidden]
@=""
2.去别的没感染病毒的电脑上把此段注册表的数据导出来,再导入到这台电脑。
好,现在可以显示所有文件及文件夹了!
五.现在进程里有2个SMSS.exe,(有一个在windows下是病毒)
解决方法:现在暂时无法清楚干净(C:\windows\SMSS.exe现在用工具杀掉,这里刷新下就马上又有了,而且直接在安全模式下就会注入进程),还是等下再告诉你清除方法。
六.在注册表里发现以下—> 不正常的地方(还有别的地方不对,我先不一一去找了):
RUN下面:TProgram C:\WINDOWS\smss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1
七.运行MSCONFIG,在启动里去掉C:\WINDOWS\smss.exe前面的√,不过刷新下就马上又√起来了,晕~~~~~~~
解决方法:现在以上6.7点情况暂时无法清除干净,(删掉,这里刷新下就马上又有了,我把"Shell"="Explorer.exe 1改为"Shell"="Explorer.exe,马上又被改回去 ),病毒的自我保护能力很顽强,安全模式下删除这些文件,异常的注册表项,用HijackThis 扫描了后,修复了异常,可是重启后病症都又回来了。怎么办呢??
还是等下再告诉你清除方法。呵呵~~~
八.不过,我们现在得先做以下重要的2步(防止在干掉对方前,先给对方干掉了,嘿嘿!)
1.运行 输入cmd 输入netstat -an 查看下自己的端口是不是正常的,如发现有不正常的情况,先把不正常的端口给关闭了,防患于未燃,先关闭危险的端口。
2.删除XP网络共享(运行cmd–>net share 看看)
(有关以上2点的文章,论坛里有很多,偶也传了几贴,可以去参考下)
九.接着来~~~~
耐心点看下去~~~
想了几天~~~~ 去摆渡,GOOGLE找了多天,那些有点相似的问题,提供的方法都没用,这个时候那些病毒木马的杀手啊、大师啊、杀客啊、专家啊、克星啊、清道夫啊等等,都没用了,帮不了我们,现在只有用我们自己的菜刀(手工)来砍啦~~~~~
怎么办呢??
难道真的没办法了,我都想累了。。。。。。
为什么,删除后重启都还在呢??
分析原因:
这个病毒首先是具有很强的复制能力,由于病毒会自动检测进程,如果发现被关闭,就会继续产生病毒进程。 而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中, 几乎没有办法手动完全关闭病毒进程。而且这个病毒很顽强,它释放了很多病毒文件,还修改了很多注册表信息,而我肯定不止这一个病毒,肯定还有好多个,我还不知道它们躲在哪里?它们
在互相配合和我较量。
好多个?????那到底还有几个呢?????哇噻!我怎么没想到呀,我们还有把照妖镜呢————用搜索!
现在我查了下smss.exe,AutoRun.inf,command.com,这3个文件的生成日期都是2006.02.20。
好!就去查找创建日期是2006.02.20的所有文件,都找出来了,首先给它们排个队,拍张集体照(漏了一个,补上AutoRun.inf)。哈哈!
现在是我们干掉它们的时候啦,不过,在干掉它们之前先给他们打个包(用压缩备份,做成样品以后再慢慢研究吧,我估计用强大的UltraEdit 肯定会发现反病毒信息和病毒自我保护的信息现在是用到3把“利刃”的时候了:Windows进程管理器v3.70(还有把Icesword v1.12 v3.70 冰刃太厉害,我只用来查了下进程,没发现有隐藏的进程) killbox SREng 。
现在进入安全模式,用Windows进程管理器把smss.exe给关掉,接着用killbox把smss.exe杀掉,其余的"集体照里的成员"你看看能直接删除就删除,不能的就用killbox杀!!好了都杀掉了。
哦,对了还有一点我当时发现EXE文件关联被破坏了,运行–CMD–ASSOC .EXE,发现.EXE=WindowFiles,所以当时无法运行“3把利刃”,我把它们的后缀EXE暂时改为COM,才运行以来,如果COM文件关联也被破坏,那我们就只好先做这一步,先把文件关联给修复好。
解决方法:(2种方法)
1.注册表编辑器打开后,找到以下分支:
HKEY_CLASSES_ROOT\exefile\shell\open\command
双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值,设置为 exefile
(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!)
然后退出注册表编辑器
2.使用安全模式下的命令行工具来还原.EXE文件的关联(在安全模式下修复率要高点,不在安全模式下修复也可以)
开始->运行->输入"cmd",回车 打开命令提示符窗口
在命令行中,依次执行以下命令:
ftype exefile="%1" %* [包含引号]
assoc .exe=exefile (assoc与.exe之间有一空格!)
exit
修复完成,很简单吧?
(如还不行,那是病毒进程又恢复了,可能我们还没把那张"集体照里的成员"给全部同时干掉,病毒又把关联给改了,我们可以先用SREng,把SREng主程序的后缀EXE暂时改为COM,就可以运行修复文件关联)
好,接下来我们要手工修复注册表,主要是修复被病毒木马改掉的键值,和自启动项目,删除危险的项。(有关手工修复注册表的详细情况,我就不一一赘诉了,论坛里有好多有关的文章,偶也传了几贴,你可以去看看,真的不行就找个注册表修复之类的软件,有很多)
最后用SREng 再修复一下,生成日志,看后保存起来。在去看看进程~~~C:\WINDOWS\smss.exe是不是真的没啦!!!
在这里总结下本次杀毒的体会:
如果发现了电脑有异常情况,用杀毒软件查杀后,
1.是去进程里看下有无异常的程序在运行,
2.去运行msconfig,看看有无异常的启动
3.去查查[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RUN有无异常的启动
4.如果还有问题可以去查查,木马还喜欢呆的地方(论坛里有此类文章)
5.可以用搜索,把木马病毒生成日期的同一天的文件给搜索出来,分析一下哪些是,把木马病毒的文件都删掉
6.最后修复文件关联和注册表修复
十.推荐防范方法:
安装系统的必要补丁(SP2),尤其是最新的几个补丁
安装网络防火墙
不要随便点陌生人发来的网页链接、软件、图片等
下载的文件都要用杀毒软件先查一下。
注:如果有朋友杀病毒木马后开机提示缺少某些系统文件或.DLL丢失。
解决办法:
根据提示,记录相应的文件,
运行REGEDIT,进入注册表修改,
查找相应的文件,删除对应的注册表项目,即可!!
-----------------------------------------------------------------------------------------------------------------------------------
第二篇文章
我只用了1个软件 木马防线 可以终止这个 c:\windows\smss.exe 的进程
(注意 c:\windows\system32\smss.exe 是个系统进程,而这个 c:\windows\smss.exe 你可以发现
它是个隐藏文件,而且 创建日期很新 (通过创建日期基本可以得知你中木马的日期)
终止进程后 删除 那些 木马 文件
不要双击 d 盘,右击 选打开,删除 d 盘的 command.com 文件 还有 autorun.inf 文件
一定要删除相关文件:如下面所说的:
sxs.exe
TCNEW
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe (system32 下面的不用删)
%Windows%\Debug\DebugProgram.exe
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\inexplore.exe
%ProgramFiles%\Common Files\inexplore.exe
%SystemRoot%\autorun.inf
%SystemRoot%\command.cmd
基本上可以从生成文件的日期来判断,一般为今天,或昨天。
可以按时间排序,在 winnt 或 windows 目录 和 根目录下 不要双击 盘符,右击打开(显示所有文件,很容易看到这些文件的)
好像还发现1个 shell.sys 文件
修改 注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
对了还有一点我当时发现EXE文件关联被破坏了,运行–CMD–ASSOC .EXE,发现.EXE=WindowFiles,所以当时无法运行“3把利刃”,我把它们的后缀EXE暂时改为COM,才运行以来,如果COM文件关联也被破坏,那我们就只好先做这一步,先把文件关联给修复好。
解决方法:(2种方法) : 我是用木马防线 修复的
1.注册表编辑器打开后,找到以下分支:
HKEY_CLASSES_ROOT\exefile\shell\open\command
双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值,设置为 exefile
(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!)
然后退出注册表编辑器
2.使用安全模式下的命令行工具来还原.EXE文件的关联(在安全模式下修复率要高点,不在安全模式下修复也可以)
开始->运行->输入"cmd",回车 打开命令提示符窗口
在命令行中,依次执行以下命令:
ftype exefile="%1" %* [包含引号]
assoc .exe=exefile (assoc与.exe之间有一空格!)
exit
重启,再用 杀毒 软件 和 木马防线 查一遍 看看木马是不是没有了
这个木马自我修复能力很强,一定要删掉它的很多备份就是上面提到的要删除的那些文件
所以关闭病毒进程后,查下所有 那个 木马 文件 生成 日期的 文件,可疑的(221k)都删除
发现很多 221k 的 文件,而且 日期都是同一个 (病毒发作 当天 或是 前几天)而且多半在 windows 目录下(
windows 或 winnt 是 xp 或是2k 的默认 目录,也是可执行文件的 默认路径)
包括 msconfig.com
command.com
regedit.com
dxdiag.com
a.com
上面这些文件都是 病毒(木马)给自己的替身,强啊,运行 regedit 不会发现异常(常用的 exe文件 它都做了个
.com的文件,当然这个.com 是个 处理过的文件,是个批处理文件 先复制病毒文件,在运行病毒文件
然后再运行 正常的文件)
其实这个病毒发作一个症状就是 exe 文件是不能执行的(可以通过上面讲的办法恢复回来,不过如果你要运行
exe 文件怎么办呢,很简单,把那个文件 改成 .com 的就是了,恢复 exe 可以执行后,再改回来)
以前 有个广外 女生的木马也是这样)
然后 发现一个 病毒的 窝: 在windows 或是 winnt(win2000默认是 winnt 目录)下发现 一个 debug 的目录
这个就是 这个木马的大本营了,里面还发现了 类似 password.log 文件,就是记录你电脑 的密码文件,再 发送回
某个地方的,可怕啊
到此 ,这个 木马基本在控制范围里面的
删干净 这些 文件 目录 恢复 exe 文件的身份
特别提示这个木马 目前似乎 杀毒软件都 查不到(因为都被木马换了替身,替身在杀毒软件起来之前,自己先起来,这样就可以保护好自己了)
