宝贝不哭
(宝贝不哭)
注册会员
一般会员
UID 30510
精华
0
积分 133
帖子 186
金钱 133 喜悦币
威望 0
人脉 0
阅读权限 20
注册 2004-8-13
状态 离线
|
马,又见马!
一、现马
昨晚,近一个不知名的网站后(没装杀毒软件),QQ突然莫名其妙的被关了,心里顿时感觉不妙,立时重新打开QQ一看,果然,QQ登录界面有一个QQ密码保护技术启动失败的提示。
感觉不妙,于是装上杀毒软件(瑞星正版,我手上的软件就这一个瑞星是正版的,吼吼,,,),准备杀马。结果安装完之后,任我怎么点,它都没一点反应,估计是被那马给做了手脚。
二、杀马
上次也碰到过一次这样的情况,直接登录之后没多久,我的QQ就被人挤下线了,等我从新设定密码后一看,Q币少了不少,这次可不敢再直接登录了,于是决定将这马找出来,除之而后快。
打开任务管理器后一看,多了个1.exe文件在运行,那么就从这个1.exe入手吧。按照常理,马儿一般不是藏身"%SystemRoot%"就是藏身"%SystemRoot%/system32"下,到“%SystemRoot%”(我的电脑是C:\WINDOWS)下一看,果然有个1.com存在,大小是47.5k,创建日期是2006-11-15 20:20。一想不对,任务管理器中是1.exe,而这里的是1.com,那么肯定还有一个1.exe存在的,于是到system32目录下一看,果然,这家伙正乖乖的躺在那儿呢(大小是102K,创建日期完全同1.exe)。同时在C:\windows目录下还有exerouter.exe,exp10rer.com(注意这里是数字10,不是字母lo),finders.com,smss.exe(这个文件还被加入到了注册表的启动项中)等文件,大小全部都是47.5k,创建日期都是2006-11-15 20:20,于是毫不手软,删!(注:有些文件被改成了系统文件,要在文件夹选项—>察看中取消“隐藏艘保护的操作系统文件”前的小勾,下同。)
windows解决了,再转战到system32目录下,接着找到了dxdiag.com,msconfig.com,regedit.com,rund1132.com(数字11,非字母ll)几个文件(可选择按照时间排序,很容易查找的),大小均为47.5K,无须质疑,删!
再使用系统搜索功能搜索C盘,创建日期为2006-11-15,文件大小为至多48k的文件(在使用搜索的过程中,多次出现explorer.exe崩溃),在inf目录下找到一个exe文件(名字忘了,不过被加入了注册表启动项,大小为47.5K),在debug目录下有个debugprogram(忘了exe还是com)文件,大小也是47.5K,我删我删我删删删,删得痛快着呢,呵呵。
三、问题
虽然这些文件都被删了,但还是不放心,于是重启电脑(启动过程中,explorer.exe加载完全后,也就是桌面完全出现后,系统提示“找不到 1 ”,估计是那个1.exe或是1.com注入到explorer.exe中了),准备用瑞星查下毒,但刚刚删得痛快,这下问题却出来了,这点任我怎么点,不是全无反应,而是跳出一个提示,让我选择文件的打开方式!
当时心里那个郁闷啊,比之发现马是使有过之而无不及啊!exe文件让我选择打开方式!当时可问候了写这个马的人他家祖宗十八代不止100遍了,你写马就写马嘛,你还让人家把自己电脑里的马删了之后exe文件就无法运行了,真是缺了程序员的德,更是缺了作为一个人的德。当然,这是牢骚,问题还是得解决的。
四、解决
当时想了许多办法,在windows和system32目录下来回的看,就是没找到能够解决问题的方法,所有的exe文件都无法打开。
然后想,exe文件文件无法打开,莫非也是改了注册表中.exe的关联?再说想到了这点也没用,exe文件无法打开也就是注册表编辑器无法使用了,就算能用,我也不知道这个关联的注册表怎么改呀,或者也可以使用系统还原,因为创建系统还原点时应该也是备份了注册表的,可是点击附件->系统工具->系统还原,跳出的还是选择打开方式。
看来只有重做系统一个选择了。可是心里实在是不甘呀,不甘心之前的努力白费,也不甘心这马的作者的嚣张与狂妄(在我看来是如此的)。
再想,办法总是人想出来的。再到windows和systen32目录下面去看,眼睛来来回回的转,突然停在了一个文件上,system32目录下的command.com文件。我也曾想过用dos命令的办法,可平时用的都是cmd,而cmd是exe文件,那么何不试试这个command呢?
双击,果然,成功运行了!当时心里那个激动呀,不多想,准备开瑞星杀毒。可是我的瑞星是按照默认路径安装的,也就是安装在c:\program files\rising下面的,在command下这个program files目录是不管怎么样都无法进入的,可能跟dos时代的短目录名有关吧,可我忘了这个短目录名是怎么写的,试了几次都不成功,于是就放弃了,准备系统还原吧。
我用的还原是windows系统自带的系统还原工具,进入到system32\restore目录,输入rstrui,回车,我可爱的系统还原界面终于出现了。选择还原点,OK。
PS:这个系统还原有点意思,我电脑用的是GHOST安装版的,他原来设置是把系统还原功能给关掉了的,但前几天(13号)我嫌WMP9实在是难看(虽然平时基本不用)升级到WMP10版是,要求打开系统还原功能,才打开的,这次还原系统选择的也是升级WMP时建立的还原点。
重启电脑,启动瑞星杀毒,在c:\program files\common files\目录下有个inexplore.pif,c:\program files\internet explorer\目录下有explorer.exe,inexplore.com两个文件提示为病毒,杀!瑞星杀完毒后,重启电脑,进入系统 ,不再有“找不到 1 ”的系统提示了。
至此,本次不太完美的杀毒经历终于结束了!
五、结束语
本贴好象似乎应该是发在Windows/软硬件区的,可那区没啥人气,PHP区人气倒是多,可是我这内容根PHP完全不沾边,也不敢发,看这原创区“参赛范围:任何php技术文章,网站建设技术文章,及个人心得均可”,这些文字也可算是我的一些心得体会吧 所以贴这来了,村长莫怪,版主莫怪!
以上经验,只适于在没有使用ghost做备份的情况下,如有,则直接ghost了,简单直接,呵呵。
另外,既然.com的可以使用,那么.bat,.vbs的也应该是可以使用的吧,不过现在没办法证实了,呵呵。
|
|
