五千年(敝帚自珍)

主题:有两个问题请教这里的电脑大虾 -- 潜龙在田

共:💬12 🌺1
全看分页树展 · 主题 跟帖
家园 病毒查杀方案:

病毒查杀方案:

由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。

第一回合:

当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok.启机一看,注册表完全没改过来,该删除的文件也都在。

结局:病毒胜,天缘败。

第二回合:

换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit /s save.reg 导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。

结局:病毒胜,天缘败。

第三回合:

重新启动机器,这次我采用手工的方式删除文件。发现了问题――对system32/drivers目录下的CnsMinKP.sys,WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是――删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索――在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是――“目前无法破解”。在这一步上,天缘也尝试了各种方法。

我尝试着改这几个文件的文件名,结果没成功;

我尝试着用重定向来取代该文件,如dir * > CnsMinKP.sys ,结果不成功;

我尝试着用copy con <文件名> 的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉copy con用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?

仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么##作目录如何?

我先把windowssystem32drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);

重新启动机器,到安全模式下;

用drivers1目录替代原来的drviers目录

cd windowssystem

ren drivers drivers2

ren drivers1 drivers

之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:

Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)

[-HKEY_LOCAL_MACHINESOFTWARE3721]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]

[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]

[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]

[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]

[-HKEY_CURRENT_USERSoftware3721]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]

结局:病毒败,天缘胜。

(虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改名的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)

第四回合:

聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法――用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是――大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器――换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe 这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。

到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河