IP:35.172.224.102 Time:
加载中...
本站首页在线新闻技术文献软件工具国际版

-------- Welcome To Senqice Network  !Thank You For Your Support !--------
文献分类
·网站建设
·系统使用

文献TOP10
·DLL木马进程内幕大揭密
·计算机网络基本概念(2)
·QQ被盗,好友不丢。
·VBScript教程(二)
·VBScript教程(三)
·批处理教程
·冰河木马的使用方法
·计算机网络基本概念(1)
·新手扫盲之代理类型端详
·常用DOS命令

站内搜索






  本站的大部分软件工具和相关文献都来自网上收集,其版权归作者本人所有,如果有任何侵犯您权益的地方,请联系我,我将马上进行整理,谢谢。

灰鸽子和武汉男生类木马病毒处理办法
圣骑士--网络安全技术中心 http://www.senqice.net/ http://www.senqice.net/
所属分类:网站建设 作者:Mark Senqice 更新日期:2006-3-29
前几天站长被人忽悠中了灰鸽子木马,哎呀~一点安全意识都没了~希望大家不要像我啊,网友传过来的文件最好经过杀毒软件检查之后再运行,如果杀毒软件有提示,那么千万不要运行!切记!否则就会和我一样--手动清除吧~~另外给自己造成额外损失就更不好了。反正就是提高我们对病毒的认识,知己知彼才能百战百胜!好了,今天就先研究下灰鸽子和武汉男生的处理办法,下面是站长在网上搜集的的。 因为此类木马采用注入系统进程的方式,一旦感染,普通杀毒很难处理干净,且病毒加载方式较为隐蔽。所以总结一些方法与大家分享。 根据用户反映现在主要集中两种情况: 1、 瑞星只能部分发现并杀掉病毒,但杀完后再杀,或每次重启后监控又会报病毒,(有时候也会出现杀毒失败情况,多是DLL文件),这种情况主要是由于查杀掉的并不是病毒母体文件,母体不断释放病毒体造成。如出现这种情况,可能根据用户情况让其下载听诊器诊断提取,如用户对电脑操作较熟练或很着急处理,可带其根据附件1中的说明,找到启动时加载了的病毒母体文件名,手工删除(删除方法见后)。 2、 瑞星能发现全部病毒体,有的可能清除,有的删除失败,删除失败的多是注入系统进程(如explorer.exe,winlogon.exe)的DLL动态链接库文件,可以在结束相应进程后,进行杀毒或手工删除文件解决。 手工删除方法: 建议先进入安全模式,对2000/XP系统,可以在任务管理器里结束explorer.exe 进程,从“文件”-“新建任务”启动瑞星主程序杀毒,然后重启explorer.exe进程,找到病毒文件删除。 对注入其他系统进程如winlogon.exe,或有些情况下(多发生在9X系统下)结束explorer.exe发生死机或重启,建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。 DOS下命令: cd c:\windows\system32 attrib -r-s-h msapi.exe attrib -r-s-h msapi.dll del msapi.exe del msapi.dll 把其中删除文件名换成相应病毒文件名即可。 删除完文件最好再删除一下注册表中相应的启动项,检查注册表中键值做一下修复,包括一些文件关联如.exe和.txt及IE默认设置。 ============================= 附1系统启动加载病毒文件的方式 ============================= 一、当前用户专有的启动文件夹   这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。 二、对所有用户有效的启动文件夹   这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。 三、Load注册键   介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。 四、Userinit注册键   位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。 五、Explorer\Run注册键   和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。 六、RunServicesOnce注册键   RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。 七、RunServices注册键   RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。 八、RunOnce\Setup注册键   RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。 九、RunOnce注册键   安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。 十、Run注册键   Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。 (2)通过System.ini和Win.ini文件 加载   System.ini(位置C:\windows\)   [boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。   [boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。   Win.ini(位置C:\windows\)   [windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。   [windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。   解决办法:   执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。 ============================= 附件2 安装和使用XP控制台 ============================= Windows 恢复控制台的功能是帮助基于 Windows 的计算机在未正确启动或根本无法启动时进行恢复操作。 在安全模式和其他启动方法都无效时,您可以考虑使用恢复控制台。 仅对高级用户(能够使用基本命令确定并找到有问题的驱动程序和文件)建议使用此方法。 此外,还要求您是本地管理员。在此我们介绍一点关于控制台的知识。 如何安装恢复控制台: 您可以在计算机上安装恢复控制台,在您无法重新启动 Windows 时使用。 启动时可以从现有操作系统的列表中选择恢复控制台选项。 对于重要的服务器和 IT 员工的工作站最好安装恢复控制台。 本文介绍了如何为您的 Windows XP 计算机安装恢复控制台。 您必须具有该计算机的管理权,才能安装恢复控制台。 安装恢复控制台的步骤: 您可以直接从 Windows XP CD 引导运行恢复控制台,但是更便捷的方法是设置恢复控制台为引导菜单上的启动选项。 要直接从 CD 引导运行,参见下文中的“使用恢复控制台”部分。 要安装恢复控制台,请执行下面的步骤: 将 Windows XP CD 插入 CD-ROM 驱动器。单击开始,然后单击运行。 在打开框中,键入 d :\i386\winnt32.exe /cmdcons,此处 d 是 CD-ROM 驱动器的驱动器号。 出现说明恢复控制台选项的 Windows 安装对话框。 系统提示您确认安装。 单击是开始安装过程。 重新启动计算机。 下次启动计算机时,您将在引导菜单上看到“Microsoft Windows Recovery Console”项。 备注: 您也可以通过网络共享点使用 UNC 安装恢复控制台。 使用恢复控制台: 您可以启用和禁用服务、格式化驱动器、读写本地驱动器(包括使用 NT 文件系统 (NTFS) 格式的驱动器)上的数据,还可以执行许多其他管理任务。 在您需要从磁盘或 CD-ROM 上复制文件到硬盘上修复计算机,或者重新配置导致计算机无法正常启动的服务时,恢复控制台更能发挥作用。 如果您无法启动计算机,可以从 Microsoft Windows XP 启动盘或从 Windows XP CD-ROM 运行恢复控制台。 本文章介绍如何执行此任务。 当您的计算机安装了 Windows XP 后,您需要使用 Windows XP 启动盘或Windows XP CD-ROM 启动计算机和使用恢复控制台。 有关如何创建 Windows XP 的启动盘(独立于 Windows XP)的其他信息,单击下面的文章编号查看 Microsoft 知识库中的文章: Q310994Obtaining Windows XP Setup Boot Disks(获取 Windows XP 安装启动盘) 备注: 要从 Windows XP CD-ROM 启动计算机,您需要配置计算机的基本输入/输出系统(BIOS)才能从 CD-ROM 驱动器引导。 要从 Windows XP 启动盘或 Windows XP CD-ROM 运行恢复控制台,请按照下列步骤操作: 将 Windows XP 启动盘插入软盘驱动器或将 Windows XP CD-ROM 插入 CD-ROM 驱动器,然后重新启动计算机。 按提示,单击选中从 CD-ROM 驱动器启动计算机所需的选项。 出现“欢迎使用安装程序”屏幕时,按 R 键启动恢复控制台。 如果您使用的是双引导或多引导计算机,请选择需要从恢复控制台访问的系统安装。 按提示,键入管理员密码。 如果管理员密码为空,只需按 ENTER 键。 在命令提示处,键入相应的命令诊断和修复 Windows XP 的安装。 要查看用于恢复控制台的命令列表,请在命令提示处键入 recovery console commands 或 help ,然后按 ENTER 键。 要查看特定命令的信息,请在命令提示处键入 help 命令名,然后按 ENTER 键。 要退出恢复控制台并重新启动计算机,请在命令提示处键入 exit,然后按 ENTER 键。 ============================= 使用恢复控制台命令提示符: 恢复控制台所使用的特殊命令提示符不同于与普通的 Windows 命令提示符。 恢复控制台有自己的命令解释程序。 按恢复控制台的提示键入管理员(本地管理员,不是域管理员)密码,才能进入其命令解释程序。 恢复控制台启动时,可以按 F6 键安装访问 SCSI 或 RAID 硬盘所需的第三方 SCSI 或 RAID 驱动程序。 此提示的作用与安装操作系统过程中的作用相同。 恢复控制台需要几分钟后启动。 出现恢复控制台菜单时,会显示一个带编号的列表,列出本计算机上安装的所有 Windows(通常仅有一项 -c:\Windows-exists)。 即使在只有一项的情况下,也要键入一数字再按 ENTER 键。 如果您在按 ENTER 键之前没有选择数字,计算机将重新启动并重复此过程。 当您看到 %SystemRoot% 的提示(通常是 C:\Windows)时,可以开始使用恢复控制台中的命令。 恢复控制台中命令操作: 以下列表介绍了可在恢复控制台中使用的命令: Attrib 更改文件或子目录的属性。 Batch 执行您在文本文件、Inputfile 中指定的命令,Outputfile 存储命令的输出结果。 如果忽略 Outputfile 参数,输出结果将显示在屏幕上。 Bootcfg 用于对 Boot.ini 文件(设置引导配置和恢复)进行操作。 CD (Chdir) 的操作仅限于当前 Windows 安装的系统目录,可移动媒体,所有硬盘分区的根目录,或本地安装源。 Chkdsk 即使驱动器没有标志为有问题,/p 开关也会运行 Chkdsk 。 /r 开关查找到坏的扇区并恢复可读信息,此开关包含 /p 的功能。 Chkdsk 要求 Autochk。 Chkdsk 在启动(或引导)文件夹中自动查找 Autochk.exe 文件。 如果 Chkdsk 在启动文件夹中未查找到此文件,将查找 Windows 2000 安装 CD-ROM。 如果 Chkdsk 未能找到安装 CD-ROM,Chkdsk 提示向用户询问 Autochk.exe 文件的位置。 Cls 清除屏幕。 Copy 将文件复制到目标位置。 在默认情况下,目标位置不能是可移动媒体,也不能使用通配符。 从 Windows 2000 安装 CD-ROM 复制压缩文件会自动将该文件解压缩。 Del (Delete) 删除文件。 操作范围限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 默认情况下不能使用通配符。 Dir 显示所有文件的列表,包括隐藏文将和系统文件。 Disable 禁用 Windows 系统服务或驱动程序。 变量 service _or_ driver 是您希望禁用的服务或驱动程序的名称。 您使用此命令禁用一项服务时,在将类型改变为 SERVICE_DISABLED 之前,计算机会显示该服务的原有启动类型。 请您记下原有启动类型,以便您能使用 enable 命令重新启动该服务。 Diskpart 管理硬盘上的分区。 /add 选项创建新的分区, /delete 选项删除现有的分区。 变量 device 是新分区的设备名(例如 \device\harddisk0)。 变量 drive 是您要删除的分区的驱动器号(例如,D),partition 是您要删除分区的特定名称(例如: \device\harddisk0\partition1) 并可被用于代替 drive 变量。 变量 size 就是新分区的大小(以兆字节计)。 Enable 启用 Windows 系统服务或驱动程序。 变量 service_or_driver 是您希望启用的服务或驱动程序的名称,start_type 是启用服务的启动类型。 启动类型使用下列格式之一: SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START Exit 退出恢复控制台,然后重新启动计算机。 Expand 展开一个压缩文件。 变量 source 是您希望展开的文件,默认情况下您不能使用通配符字符。 变量 destination 是新文件的目录,默认情况下,目标不能是可移动媒体,也不能是只读,您可以使用 attrib 命令去除目标目录的只读属性。 当源文件含多个文件时,要求使用选项 /f:filespec,此选项允许使用通配符。 /y 开关禁用覆盖确认提示。 /d 开关指定这些文件不应展开并显示源文件中的文件目录。 Fixboot 在系统分区上写入新的引导扇区。 Fixmbr 修复引导分区的主引导代码。 变量 device 是一个可选名称,指定需要新 MBR 的设备,如果目标是引导设备可以忽略此变量。 Format 格式化磁盘。 /q 参数执行快速格式化,/fs 参数指定文件系统。 Help 如果您没有使用命令变量指定命令, help 列出恢复控制台支持的所有命令。 Listsvc 显示计算机上所有可用服务和驱动程序。 Logon 显示检测到的 Windows 安装并请求用于这些安装的本地管理员的密码。 使用此命令可以转至另一安装或子目录。 Map 显示当前使用中的设备映射。 包含 arc 选项,指定使用高级 RISC 计算 (ARC) 路径(Boot.ini 的格式),而不用 Windows 设备路径。 MD (Mkdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 More/Type 在屏幕上显示指定的文本文件(例如,文件名)。 Rd (Rmdir) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 Ren (Rename) 的操作范围仅限于当前 Windows 安装的系统目录、可移动媒体、所有硬盘分区的根目录,或本地安装源。 您不能指定新的驱动器或路径作为目标。 Set 显示并设置控制台环境变量。 Systemroot 设定当前目录为 %SystemRoot% 。 ============================== 恢复控制台的规则: 使用恢复控制台时,会用到一些环境规则。 键入 set 查看当前的环境。 默认情况下的规则如下: AllowAllPaths = FALSE ,禁止访问进入恢复控制台时所选的系统安装之外的目录和子目录。 AllowRemovableMedia = FALSE ,禁止将可移动媒体作为复制文件的目标。 AllowWildCards = FALSE ,禁止在命令中使用通配符支持,例如 copy 或 del 命令。 NoCopyPrompt = FALSE ,意味着当您覆盖现有文件时,恢复控制台会提示您确认。 如何删除恢复控制台: 若要删除恢复控制台,请按照下列步骤操作: 重新启动您的计算机,单击开始,单击我的电脑,然后双击恢复控制台所在的硬盘。 在工具菜单上,单击文件夹选项,然后单击查看选项卡。 单击“显示隐藏文件和文件夹”,单击清除“隐藏受保护的操作系统文件”复选框,然后单击确定。 在根文件夹处,删除 Cmdcons 文件夹和 Cmldr 文件。 在根文件夹处,右键单击 Boot.ini 文件,然后单击属性。 单击清除只读复选框,然后单击确定。 警告: 错误修改 Boot.ini 文件可能会导致您的计算机无法重新启动。 请确认您只删除了恢复控制台的项。 此外,在完成此过程后,建议您将 Boot.ini 文件的属性改回只读状态。 在 Microsoft Windows 记事本中打开 Boot.ini 文件,删除恢复控制台项。 文件类似如下显示: C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons 保存并关闭该文件。 在无人参与的安装过程中安装控制台 在无人参与的 Windows 安装过程中安装恢复控制台需要使用 Cmdlines.txt 文件。设置无人参与的 Windows 安装并在 cmdlines.txt 文件中加入下行: " 路径 \winnt32 /cmdcons /unattend" (包括引号) 此处路径 是 Winnt32.exe 程序文件的路径。 解析完 Cmdlines.txt 文件后,恢复控制台将在 Windows 无人参与的安装的后端进行安装。
查看人数:982

设为首页收藏本站广告合作联系我们友情链接
本站页面刷新量: 3828845 人次 ┋ 最高峰: 2009-3-10 22:05:47 7897人在线 现有 31人在线 [网站于 2006-4-1 0:0:0开放统计]
〓圣骑士--网络安全技术中心〓 [Ver 6.1.0]
Copyright © 2004-2022 www.senqice.net All Rights Reserved 
Powered By :Senzx Net
备案序号:冀ICP备06013166号