〓圣骑士--网络安全技术中心〓

前几天站长被人忽悠中了灰鸽子木马，哎呀~一点安全意识都没了~希望大家不要像我啊，网友传过来的文件最好经过杀毒软件检查之后再运行，如果杀毒软件有提示，那么千万不要运行！切记！否则就会和我一样--手动清除吧~~另外给自己造成额外损失就更不好了。反正就是提高我们对病毒的认识，知己知彼才能百战百胜！好了，今天就先研究下灰鸽子和武汉男生的处理办法，下面是站长在网上搜集的的。因为此类木马采用注入系统进程的方式，一旦感染，普通杀毒很难处理干净，且病毒加载方式较为隐蔽。所以总结一些方法与大家分享。根据用户反映现在主要集中两种情况： 1、瑞星只能部分发现并杀掉病毒，但杀完后再杀，或每次重启后监控又会报病毒，（有时候也会出现杀毒失败情况，多是DLL文件），这种情况主要是由于查杀掉的并不是病毒母体文件，母体不断释放病毒体造成。如出现这种情况，可能根据用户情况让其下载听诊器诊断提取，如用户对电脑操作较熟练或很着急处理，可带其根据附件1中的说明，找到启动时加载了的病毒母体文件名，手工删除（删除方法见后）。 2、瑞星能发现全部病毒体，有的可能清除，有的删除失败，删除失败的多是注入系统进程（如explorer.exe,winlogon.exe）的DLL动态链接库文件，可以在结束相应进程后，进行杀毒或手工删除文件解决。手工删除方法：建议先进入安全模式，对2000/XP系统，可以在任务管理器里结束explorer.exe 进程，从“文件”-“新建任务”启动瑞星主程序杀毒，然后重启explorer.exe进程，找到病毒文件删除。对注入其他系统进程如winlogon.exe，或有些情况下（多发生在9X系统下）结束explorer.exe发生死机或重启，建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。 DOS下命令： cd c:\windows\system32 attrib -r-s-h msapi.exe attrib -r-s-h msapi.dll del msapi.exe del msapi.dll 把其中删除文件名换成相应病毒文件名即可。删除完文件最好再删除一下注册表中相应的启动项，检查注册表中键值做一下修复，包括一些文件关联如.exe和.txt及IE默认设置。 ============================= 附1系统启动加载病毒文件的方式 ============================= 一、当前用户专有的启动文件夹　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：\Documents and Settings\<用户名字>\「开始」菜单\程序\启动，其中“<用户名字>”是当前登录的用户帐户名称。二、对所有用户有效的启动文件夹　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：\Documents and Settings\All Users\「开始」菜单\程序\启动。三、Load注册键　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。四、Userinit注册键　　位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。五、Explorer\Run注册键　　和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。六、RunServicesOnce注册键　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。七、RunServices注册键　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。八、RunOnce\Setup注册键　　RunOnce\Setup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。九、RunOnce注册键　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。十、Run注册键　　Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。（2）通过System．ini和Win．ini文件加载　　System.ini(位置C:\windows\) 　　[boot]项原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系统启动时，都会自动加载。　　[boot]项修改后配置：“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。　　Win.ini(位置C:\windows\) 　　[windows]项原始值配置：“load=”；“run=”，一般情况下，等号后无启动加载项。　　[windows]项修改后配置：“load=”和“run=”后跟非系统、应用启动文件，而是一些你不熟悉的文件名。　　解决办法：　　执行“运行→msconfig”命令，将System.ini文件和Win.ini文件中被修改的值改回原值，并将原木马程序删除。若不能进入系统，则在进入系统前按“Shift+F5”进入Command Prompt Only方式，分别键入命令edit system.ini和edit win.ini进行修改。 ============================= 附件2 安装和使用XP控制台 ============================= Windows 恢复控制台的功能是帮助基于 Windows 的计算机在未正确启动或根本无法启动时进行恢复操作。在安全模式和其他启动方法都无效时，您可以考虑使用恢复控制台。仅对高级用户（能够使用基本命令确定并找到有问题的驱动程序和文件）建议使用此方法。此外，还要求您是本地管理员。在此我们介绍一点关于控制台的知识。如何安装恢复控制台：您可以在计算机上安装恢复控制台，在您无法重新启动 Windows 时使用。启动时可以从现有操作系统的列表中选择恢复控制台选项。对于重要的服务器和 IT 员工的工作站最好安装恢复控制台。本文介绍了如何为您的 Windows XP 计算机安装恢复控制台。您必须具有该计算机的管理权，才能安装恢复控制台。安装恢复控制台的步骤：您可以直接从 Windows XP CD 引导运行恢复控制台，但是更便捷的方法是设置恢复控制台为引导菜单上的启动选项。要直接从 CD 引导运行，参见下文中的“使用恢复控制台”部分。要安装恢复控制台，请执行下面的步骤：将 Windows XP CD 插入 CD-ROM 驱动器。单击开始，然后单击运行。在打开框中，键入 d :\i386\winnt32.exe /cmdcons，此处 d 是 CD-ROM 驱动器的驱动器号。出现说明恢复控制台选项的 Windows 安装对话框。系统提示您确认安装。单击是开始安装过程。重新启动计算机。下次启动计算机时，您将在引导菜单上看到“Microsoft Windows Recovery Console”项。备注：您也可以通过网络共享点使用 UNC 安装恢复控制台。使用恢复控制台：您可以启用和禁用服务、格式化驱动器、读写本地驱动器（包括使用 NT 文件系统 (NTFS) 格式的驱动器）上的数据，还可以执行许多其他管理任务。在您需要从磁盘或 CD-ROM 上复制文件到硬盘上修复计算机，或者重新配置导致计算机无法正常启动的服务时，恢复控制台更能发挥作用。如果您无法启动计算机，可以从 Microsoft Windows XP 启动盘或从 Windows XP CD-ROM 运行恢复控制台。本文章介绍如何执行此任务。当您的计算机安装了 Windows XP 后，您需要使用 Windows XP 启动盘或Windows XP CD-ROM 启动计算机和使用恢复控制台。有关如何创建 Windows XP 的启动盘（独立于 Windows XP）的其他信息，单击下面的文章编号查看 Microsoft 知识库中的文章： Q310994Obtaining Windows XP Setup Boot Disks（获取 Windows XP 安装启动盘）备注：要从 Windows XP CD-ROM 启动计算机，您需要配置计算机的基本输入/输出系统（BIOS）才能从 CD-ROM 驱动器引导。要从 Windows XP 启动盘或 Windows XP CD-ROM 运行恢复控制台，请按照下列步骤操作：将 Windows XP 启动盘插入软盘驱动器或将 Windows XP CD-ROM 插入 CD-ROM 驱动器，然后重新启动计算机。按提示，单击选中从 CD-ROM 驱动器启动计算机所需的选项。出现“欢迎使用安装程序”屏幕时，按 R 键启动恢复控制台。如果您使用的是双引导或多引导计算机，请选择需要从恢复控制台访问的系统安装。按提示，键入管理员密码。如果管理员密码为空，只需按 ENTER 键。在命令提示处，键入相应的命令诊断和修复 Windows XP 的安装。要查看用于恢复控制台的命令列表，请在命令提示处键入 recovery console commands 或 help ，然后按 ENTER 键。要查看特定命令的信息，请在命令提示处键入 help 命令名，然后按 ENTER 键。要退出恢复控制台并重新启动计算机，请在命令提示处键入 exit，然后按 ENTER 键。 ============================= 使用恢复控制台命令提示符: 恢复控制台所使用的特殊命令提示符不同于与普通的 Windows 命令提示符。恢复控制台有自己的命令解释程序。按恢复控制台的提示键入管理员（本地管理员，不是域管理员）密码，才能进入其命令解释程序。恢复控制台启动时，可以按 F6 键安装访问 SCSI 或 RAID 硬盘所需的第三方 SCSI 或 RAID 驱动程序。此提示的作用与安装操作系统过程中的作用相同。恢复控制台需要几分钟后启动。出现恢复控制台菜单时，会显示一个带编号的列表，列出本计算机上安装的所有 Windows（通常仅有一项 -c:\Windows-exists）。即使在只有一项的情况下，也要键入一数字再按 ENTER 键。如果您在按 ENTER 键之前没有选择数字，计算机将重新启动并重复此过程。当您看到 %SystemRoot% 的提示（通常是 C:\Windows）时，可以开始使用恢复控制台中的命令。恢复控制台中命令操作: 以下列表介绍了可在恢复控制台中使用的命令： Attrib 更改文件或子目录的属性。 Batch 执行您在文本文件、Inputfile 中指定的命令，Outputfile 存储命令的输出结果。如果忽略 Outputfile 参数，输出结果将显示在屏幕上。 Bootcfg 用于对 Boot.ini 文件（设置引导配置和恢复）进行操作。 CD (Chdir) 的操作仅限于当前 Windows 安装的系统目录，可移动媒体，所有硬盘分区的根目录，或本地安装源。 Chkdsk 即使驱动器没有标志为有问题，/p 开关也会运行 Chkdsk 。 /r 开关查找到坏的扇区并恢复可读信息，此开关包含 /p 的功能。 Chkdsk 要求 Autochk。 Chkdsk 在启动（或引导）文件夹中自动查找 Autochk.exe 文件。如果 Chkdsk 在启动文件夹中未查找到此文件，将查找 Windows 2000 安装 CD-ROM。如果 Chkdsk 未能找到安装 CD-ROM，Chkdsk 提示向用户询问 Autochk.exe 文件的位置。 Cls 清除屏幕。 Copy 将文件复制到目标位置。在默认情况下，目标位置不能是可移动媒体，也不能使用通配符。从 Windows 2000 安装 CD-ROM 复制压缩文件会自动将该文件解压缩。 Del (Delete) 删除文件。操作范围限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录，或本地安装源。默认情况下不能使用通配符。 Dir 显示所有文件的列表，包括隐藏文将和系统文件。 Disable 禁用 Windows 系统服务或驱动程序。变量 service _or_ driver 是您希望禁用的服务或驱动程序的名称。您使用此命令禁用一项服务时，在将类型改变为 SERVICE_DISABLED 之前，计算机会显示该服务的原有启动类型。请您记下原有启动类型，以便您能使用 enable 命令重新启动该服务。 Diskpart 管理硬盘上的分区。 /add 选项创建新的分区， /delete 选项删除现有的分区。变量 device 是新分区的设备名（例如 \device\harddisk0）。变量 drive 是您要删除的分区的驱动器号（例如，D），partition 是您要删除分区的特定名称（例如： \device\harddisk0\partition1) 并可被用于代替 drive 变量。变量 size 就是新分区的大小（以兆字节计）。 Enable 启用 Windows 系统服务或驱动程序。变量 service_or_driver 是您希望启用的服务或驱动程序的名称，start_type 是启用服务的启动类型。启动类型使用下列格式之一： SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START Exit 退出恢复控制台，然后重新启动计算机。 Expand 展开一个压缩文件。变量 source 是您希望展开的文件，默认情况下您不能使用通配符字符。变量 destination 是新文件的目录，默认情况下，目标不能是可移动媒体，也不能是只读，您可以使用 attrib 命令去除目标目录的只读属性。当源文件含多个文件时，要求使用选项 /f:filespec，此选项允许使用通配符。 /y 开关禁用覆盖确认提示。 /d 开关指定这些文件不应展开并显示源文件中的文件目录。 Fixboot 在系统分区上写入新的引导扇区。 Fixmbr 修复引导分区的主引导代码。变量 device 是一个可选名称，指定需要新 MBR 的设备，如果目标是引导设备可以忽略此变量。 Format 格式化磁盘。 /q 参数执行快速格式化，/fs 参数指定文件系统。 Help 如果您没有使用命令变量指定命令， help 列出恢复控制台支持的所有命令。 Listsvc 显示计算机上所有可用服务和驱动程序。 Logon 显示检测到的 Windows 安装并请求用于这些安装的本地管理员的密码。使用此命令可以转至另一安装或子目录。 Map 显示当前使用中的设备映射。包含 arc 选项，指定使用高级 RISC 计算 (ARC) 路径（Boot.ini 的格式），而不用 Windows 设备路径。 MD (Mkdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录，或本地安装源。 More/Type 在屏幕上显示指定的文本文件（例如，文件名）。 Rd (Rmdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录，或本地安装源。 Ren (Rename) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录，或本地安装源。您不能指定新的驱动器或路径作为目标。 Set 显示并设置控制台环境变量。 Systemroot 设定当前目录为 %SystemRoot% 。 ============================== 恢复控制台的规则: 使用恢复控制台时，会用到一些环境规则。键入 set 查看当前的环境。默认情况下的规则如下： AllowAllPaths = FALSE ，禁止访问进入恢复控制台时所选的系统安装之外的目录和子目录。 AllowRemovableMedia = FALSE ，禁止将可移动媒体作为复制文件的目标。 AllowWildCards = FALSE ，禁止在命令中使用通配符支持，例如 copy 或 del 命令。 NoCopyPrompt = FALSE ，意味着当您覆盖现有文件时，恢复控制台会提示您确认。如何删除恢复控制台: 若要删除恢复控制台，请按照下列步骤操作：重新启动您的计算机，单击开始，单击我的电脑，然后双击恢复控制台所在的硬盘。在工具菜单上，单击文件夹选项，然后单击查看选项卡。单击“显示隐藏文件和文件夹”，单击清除“隐藏受保护的操作系统文件”复选框，然后单击确定。在根文件夹处，删除 Cmdcons 文件夹和 Cmldr 文件。在根文件夹处，右键单击 Boot.ini 文件，然后单击属性。单击清除只读复选框，然后单击确定。警告：错误修改 Boot.ini 文件可能会导致您的计算机无法重新启动。请确认您只删除了恢复控制台的项。此外，在完成此过程后，建议您将 Boot.ini 文件的属性改回只读状态。在 Microsoft Windows 记事本中打开 Boot.ini 文件，删除恢复控制台项。文件类似如下显示： C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons 保存并关闭该文件。在无人参与的安装过程中安装控制台在无人参与的 Windows 安装过程中安装恢复控制台需要使用 Cmdlines.txt 文件。设置无人参与的 Windows 安装并在 cmdlines.txt 文件中加入下行： " 路径 \winnt32 /cmdcons /unattend" （包括引号）此处路径是 Winnt32.exe 程序文件的路径。解析完 Cmdlines.txt 文件后，恢复控制台将在 Windows 无人参与的安装的后端进行安装。

查看人数：1429

设为首页┋收藏本站┋广告合作┋联系我们┋友情链接

本站页面刷新量: 4520292 人次 ┋ 最高峰: 2009-3-10 22:05:47 7897人在线现有 37人在线 [网站于 2006-4-1 0:0:0开放统计]

〓圣骑士--网络安全技术中心〓 [Ver 6.1.0]