系统中毒：一次病毒手杀记录

2023-05-29 05:03:22
来源：其他
在手机上看

扫一扫立即进入手机端

在客户这里做项目，发现客户给我的计算机上面在打开分区的时候，会另开一个窗口打开，查看了系统的文件夹选项，并将其还原为默认设置。发现情况依然，很明显，这台机器中毒了，磁盘下有autorun.inf这个东西！

现在大部分病毒和木马都通过在磁盘分区根目录下生成Autorun.inf。修改磁盘分区右键菜单的“打开“，“自动播放“等菜单项的点击操作，实现病毒自动运行。
一些典型的症状：
1、双击磁盘分区无法打开分区，提示找不到某某程序
2、双击响应速度变慢。
3、在新窗口打开

谨慎的通过在地址栏输入c:\等方式进入分区根目录。不要双击或右键哦！尝试显示隐藏文件和系统文件，诶，这个病毒居然没有修改文件夹的hidden的注册表项，可以显示系统文件和隐藏文件。果然，在每个分区根目录下面有两个隐藏的文件：autorun.inf和system.dll，但是没有.exe的可执行文件，有点奇怪。查看autorun.inf的内容：
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore

我不太了解这些语法，从字面意义上看，时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的，反正一句话，如果不是自定义的autorun.inf都是不正常的。

Autorun.inf本来是用在光驱上实现光盘自动播放的工具。本身无害，难而很容易被病毒利用以传播病毒。可以通过修改系统组策略禁止驱动器不自动播放，防范病毒通过自动播放达到自动运行。

尝试删除这两个文件，马上，3秒钟，这两个文件又生成了，说明有进程在监控这两个文件，删除了就补回来。尝试先建一个同名的文件抑制再生，就是建立一个同名的文件夹，根据windows文件建立规则，同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。

常见的抑制u盘病毒的工具，就是在U盘下面生成一个autorun.inf文件夹来实现抑制的。这也容易被病毒破解。要加强这种方式，可以通过修改autorun.inf文件夹的NTFS权限，禁止所有人删除！

打开任务管理器，发现有一些莫名进程，是一些数字和.txt，比如说3***.txt，进程不是都是.exe的么？不解，不管他了。结束掉，结束掉发现该进程并未再次生成。再次尝试删除那两个文件，依然如此，看来，我得知道是谁在生成那两个文件了。下载Filemon，这个软件微软的网站有下，我从skycn下的，别人修改过的filemon居然绑了流氓软件，什么上网助手啊，幸好是可以选择不安装。运行后，在过滤器里面添上过滤标志autorun.inf。发现居然是svchost在读写这个文件。右键选择进程，查看进程位置，c:\windows\system32。找到那个文件后，查看文件属性，Microsoft出品...，强行结束掉一个svchost，弹出提示要关机，赶忙输入shutdown -a停止自动关机。我预计这个文件被感染了，或者被利用了。这可如何是好。　　打开IE，以autorun.inf svchost system.dll搜索下相关信息，发现还是有一些的有人中了的，一打开那个网页，糟糕，网页给杀掉了，这病毒作者，学了很多东西嘛。这里我有一个想法啊，能不能让标题栏不显示网页的title啊。这样网页就不会给杀掉了。

很多病毒都通过钩子检查当前窗口的标题，如果符合一些特征，则将该窗口关闭。

这是流氓会武术，谁也挡不住啊。从另外一方面想，我不让病毒随机器启动运行也行。msconfig，查看系统服务和启动。在系统服务中隐藏掉微软服务，将那些服务禁止掉。启动里面，清理调未知的。重启，尝试删除那两个文件，依然再生，看来，病毒建立了驱动或者服务了，那需要工具了－－SRENG。软件我就不介绍了，很好的工具。（只是我给作者反馈信息不理我，抑郁啊。）运行后，查看启动项，可以发现AppInit_DLLs被大量修改，还有就是Image File Execution Options中大量安全软件被处理，所以大部分的杀软无法启动了。

AppInit_DLLs AppInit_DLLs 是启动项是初始化动态链接库，但是有病毒通过修改AppInit_DLLs来执行，通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. 让病毒在安全模式下也能运行。 Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通过修改该处键值，实现误导某些可执行程序的路径。比如说，在这个下面添加一个360safe.exe，然后将其键植改为virus.exe，那么我们在运行360safe时，实际上执行的是virus.exe！这个叫映像劫持！通常被病毒利用来阻止杀毒软件的运行。通常病毒实现随系统启动的办法除了上面提到的两种方式,还有: 1、注册表项：RUN 2、注册表项：Userinit 3、作为服务启动 4、作为驱动启动

　　这里就可以找到那些文件，一个一个的DEL。本来想那么作，后来没有，我想，这些事情还是交给杀软去做吧。用SRENG按shift连续选择，将他们给del掉。删了，乖乖，刷新后还有，难道病毒会重写回去呢。放弃，我想还是得用杀毒软件来杀了，我尽力了。

无意间，我查看了下SRENG扫描出来的日志，我发现一些可疑的东西，==================================
正在运行的进程
[PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
&nb

标签: 系统中毒病毒手杀系统中毒：一次病毒手杀记录《战神诸神黄昏》装备系统,技能介绍(《战神诸神黄昏》装备系统,技能介绍图) 宝可梦病毒是啥(宝可梦病毒啥意思) 《刺客信条:英灵殿》猎人瞄准系统解析(刺客信条英灵殿瞄准) 《破晓传说》强化系统简单介绍(破晓传说数值) 《全面战争:三国》武将单挑系统介绍(全面战争三国什么属性的人单挑厉害) 《怪物猎人:崛起》任务系统详解图(怪物猎人崛起任务表) 《航海日记:起航》npc系统基础介绍大全(航海日记起航挣钱路线) 《火炬之光3》新圣物系统解析(火炬之光3圣物能量上限) 《硬核机甲》战斗系统介绍(《硬核机甲》战斗系统介绍) 《埃博拉病毒2》游戏特色内容解析图(埃博拉病毒2配置) 《攻城英雄》打造系统介绍图(攻城英雄dlc内容) 2077猎杀谷仓安保(2077猎杀谷仓安保系统) win11系统怎么升级(win11系统怎么升级微信) 《天涯明月刀手游》染色系统怎么玩不了(天涯明月刀手游染色不见了) 《闪烁之光》怎么删除角色记录(《闪烁之光》怎么删除角色记录呢) 《杀戮尖塔》卡牌系统相关游戏(《杀戮尖塔》卡牌系统相关游戏) 《对马岛之鬼》战斗系统点评怎么写(对马岛之鬼流派) 《王国之心3》游戏系统详细介绍图(王国之心3gamespot) 《破晓传说》战斗系统详细分析(破晓传说战斗中怎么使用道具) 《荣耀战魂》烈火行军dlc装备系统详解攻略(荣耀战魂火吗) 《天神镇物语》神力系统介绍大全(天神镇物语什么时候上线) 2077系统重置制作规范(2077系统重置致命吗) 《古剑奇谭3》战斗系统详解(《古剑奇谭3》战斗系统详解) 暗黑破坏神:不朽交易系统(暗黑破坏神不朽交易系统详解) 《滴滴出行》记录怎么永久删除掉(滴滴出行的记录如何删掉) 《幻塔》数据中继器怎么获取(幻塔分系统吗) 《星球大战:前线2》氪金系统解析(星球大战前线2代币) dnf角色恢复能恢复多久的(dnf角色恢复能恢复多久的记录) 《破坏领主》幻化系统开启方法介绍图(破坏领主怎么幻化装备) dnf修炼场有系统奶妈(dnf修炼场有系统奶妈装备吗) 《大将军:罗马》战斗系统详解(大将军,罗马) 《中华三国志》进贡系统和官爵系统详解(中华三国志贡献够了怎么升官) win10系统性感海滩3无法进入游戏(性感沙滩3win10) 2077免疫系统义体在哪买(赛博朋克2077免疫电击义体) 埃博拉病毒2单机游戏攻略(埃博拉病毒2游戏图文攻略) dayz一直吐是什么病毒(dayz老是吐) 《古剑奇谭3》战斗系统解析(古剑奇谭3战斗力排行) linux下挂载NTFS和FAT文件系统小万出行(行车记录仪)下载行车记录仪病毒 Windows7下不让病毒执行的方法系统 Windows7中如何删除病毒文件夹操作系统位数查看windows操作系统位数解析系统资源不足形成与解决方案巧妙查看进程信息让病毒木马无处藏身教你提高杀毒效率永久告别病毒全盘扫描解决VistaWin7双系统画面混乱问题菜鸟宝典：两个技巧让Windows系统无毒如何避免MSN聊天工具的最牛病毒 ODCam行车记录仪下载行车记录仪app 中毒巧用系统命令看是否中毒运动记录app 火眼金睛从进程判断病毒木马发现病毒感染后怎样清理系统 RunEForce健身系统下载 linux系统日志不自动切分的问题 Windows2000操作系统内存优化全攻略芯平台管理系统下载让WinXP十大系统服务隐患彻底消失 Autorun病毒光驱也疯狂Autorun病毒冒充文件夹 Linux系统telnet服务设置大全关闭XP十大隐患提高系统的安全性批处理让你的电脑免疫所有木马病毒安全第一第三层交换机预防病毒能力巧妙管理交换机揪出害群之马ARP病毒只防病毒并不安全　安全攻略全解 Linux系统下PPPOE拨号共享上网方法 Linux文件系统精通指南个人电脑中毒紧急处理措施大杂烩系统内存优化 windows系统内存优化九秘招 Windows系统安全模式九大应用技巧 Windows系统服务器(网站)安全注意事项 Linux系统各个目录的作用(中英文对照) 改良系统窗口让文件打改良系统窗口让文件打开操作更加方便关于木马在windows系统中的启动方式 Linux系统swap分区解决Linux系统swap分区太小问题系统安全命令安全基础Linux必学的系统安全命令如何巧妙利用Hosts文件有效防范QQ病毒杀系利用系统日志查看Windows7系统运行速度快速扫清系统中的木马在Windows系统下搭建SVN服务器对马岛之鬼全记录(对马岛之鬼几个结局) 动森的天气系统(动森天气预测网站) 拆迁金库怎么进入管理(拆迁金库怎么进入管理系统) 超级机器人大战t系统详解(超级机器人大战t机体一览) 动物园之星动物感染病毒(动物园之星发生疾病的风险) 戴森球计划基础物流系统(戴森球计划基础物流系统怎么解锁) 穿越火线跨系统(穿越火线跨系统角色转移卡怎么用) 边缘世界中毒怎么办(边缘世界感染) 不朽之旅腐臭的油脂怎么获得(不朽之旅中毒效果翻倍) 对马岛之鬼普通礼仪(对马岛之鬼全记录) 沉没之城航海记录(沉没之城海怪) 刺客信条英灵殿家园系统(刺客信条英灵殿家园系统升级) 对马岛记录汗王的对话(对马岛汗王铠甲效果) 病毒恶化人物剧情(病毒恶化人物剧情介绍) 大江湖苍龙与白鸟中毒(大江湖苍龙与白鸟什么时候) 动物庇护所照相馆有什么用处(动物的庇护所记录单) 不思议迷宫天空扩建(不思议迷宫天空事件大全记录) 底特律变人获奖(底特律变人获奖记录)

游戏推荐

系统中毒病毒手杀系统中毒：一次病毒手杀记录《战神诸神黄昏》装备系统,技能介绍(《战神诸神黄昏》装备系统,技能介绍图) 宝可梦病毒是啥(宝可梦病毒啥意思) 《刺客信条:英灵殿》猎人瞄准系统解析(刺客信条英灵殿瞄准) 《破晓传说》强化系统简单介绍(破晓传说数值) 《全面战争:三国》武将单挑系统介绍(全面战争三国什么属性的人单挑厉害) 《怪物猎人:崛起》任务系统详解图(怪物猎人崛起任务表) 《航海日记:起航》npc系统基础介绍大全(航海日记起航挣钱路线) 《火炬之光3》新圣物系统解析(火炬之光3圣物能量上限) 《硬核机甲》战斗系统介绍(《硬核机甲》战斗系统介绍) 《埃博拉病毒2》游戏特色内容解析图(埃博拉病毒2配置) 《攻城英雄》打造系统介绍图(攻城英雄dlc内容) 2077猎杀谷仓安保(2077猎杀谷仓安保系统) win11系统怎么升级(win11系统怎么升级微信) 《天涯明月刀手游》染色系统怎么玩不了(天涯明月刀手游染色不见了) 《闪烁之光》怎么删除角色记录(《闪烁之光》怎么删除角色记录呢) 《杀戮尖塔》卡牌系统相关游戏(《杀戮尖塔》卡牌系统相关游戏) 《对马岛之鬼》战斗系统点评怎么写(对马岛之鬼流派) 《王国之心3》游戏系统详细介绍图(王国之心3gamespot) 《破晓传说》战斗系统详细分析(破晓传说战斗中怎么使用道具) 《荣耀战魂》烈火行军dlc装备系统详解攻略(荣耀战魂火吗) 《天神镇物语》神力系统介绍大全(天神镇物语什么时候上线) 2077系统重置制作规范(2077系统重置致命吗) 《古剑奇谭3》战斗系统详解(《古剑奇谭3》战斗系统详解) 暗黑破坏神:不朽交易系统(暗黑破坏神不朽交易系统详解) 《滴滴出行》记录怎么永久删除掉(滴滴出行的记录如何删掉) 《幻塔》数据中继器怎么获取(幻塔分系统吗) 《星球大战:前线2》氪金系统解析(星球大战前线2代币) dnf角色恢复能恢复多久的(dnf角色恢复能恢复多久的记录) 《破坏领主》幻化系统开启方法介绍图(破坏领主怎么幻化装备) dnf修炼场有系统奶妈(dnf修炼场有系统奶妈装备吗) 《大将军:罗马》战斗系统详解(大将军,罗马) 《中华三国志》进贡系统和官爵系统详解(中华三国志贡献够了怎么升官) win10系统性感海滩3无法进入游戏(性感沙滩3win10) 2077免疫系统义体在哪买(赛博朋克2077免疫电击义体) 埃博拉病毒2单机游戏攻略(埃博拉病毒2游戏图文攻略) dayz一直吐是什么病毒(dayz老是吐) 《古剑奇谭3》战斗系统解析(古剑奇谭3战斗力排行) linux下挂载NTFS和FAT文件系统小万出行(行车记录仪)下载行车记录仪病毒 Windows7下不让病毒执行的方法系统 Windows7中如何删除病毒文件夹操作系统位数查看windows操作系统位数解析系统资源不足形成与解决方案巧妙查看进程信息让病毒木马无处藏身教你提高杀毒效率永久告别病毒全盘扫描解决VistaWin7双系统画面混乱问题菜鸟宝典：两个技巧让Windows系统无毒如何避免MSN聊天工具的最牛病毒 ODCam行车记录仪下载行车记录仪app 中毒巧用系统命令看是否中毒运动记录app 火眼金睛从进程判断病毒木马发现病毒感染后怎样清理系统 RunEForce健身系统下载 linux系统日志不自动切分的问题 Windows2000操作系统内存优化全攻略芯平台管理系统下载让WinXP十大系统服务隐患彻底消失 Autorun病毒光驱也疯狂Autorun病毒冒充文件夹 Linux系统telnet服务设置大全关闭XP十大隐患提高系统的安全性批处理让你的电脑免疫所有木马病毒安全第一第三层交换机预防病毒能力巧妙管理交换机揪出害群之马ARP病毒只防病毒并不安全　安全攻略全解 Linux系统下PPPOE拨号共享上网方法 Linux文件系统精通指南个人电脑中毒紧急处理措施大杂烩系统内存优化 windows系统内存优化九秘招 Windows系统安全模式九大应用技巧 Windows系统服务器(网站)安全注意事项 Linux系统各个目录的作用(中英文对照) 改良系统窗口让文件打改良系统窗口让文件打开操作更加方便关于木马在windows系统中的启动方式 Linux系统swap分区解决Linux系统swap分区太小问题系统安全命令安全基础Linux必学的系统安全命令如何巧妙利用Hosts文件有效防范QQ病毒杀系利用系统日志查看Windows7系统运行速度快速扫清系统中的木马在Windows系统下搭建SVN服务器对马岛之鬼全记录(对马岛之鬼几个结局) 动森的天气系统(动森天气预测网站) 拆迁金库怎么进入管理(拆迁金库怎么进入管理系统) 超级机器人大战t系统详解(超级机器人大战t机体一览) 动物园之星动物感染病毒(动物园之星发生疾病的风险) 戴森球计划基础物流系统(戴森球计划基础物流系统怎么解锁) 穿越火线跨系统(穿越火线跨系统角色转移卡怎么用) 边缘世界中毒怎么办(边缘世界感染) 不朽之旅腐臭的油脂怎么获得(不朽之旅中毒效果翻倍) 对马岛之鬼普通礼仪(对马岛之鬼全记录) 沉没之城航海记录(沉没之城海怪) 刺客信条英灵殿家园系统(刺客信条英灵殿家园系统升级) 对马岛记录汗王的对话(对马岛汗王铠甲效果) 病毒恶化人物剧情(病毒恶化人物剧情介绍) 大江湖苍龙与白鸟中毒(大江湖苍龙与白鸟什么时候) 动物庇护所照相馆有什么用处(动物的庇护所记录单) 不思议迷宫天空扩建(不思议迷宫天空事件大全记录) 底特律变人获奖(底特律变人获奖记录)