来源:CFAN
■宁夏 千堆栈
轻松解决杀毒后给系统带来的各种残留问题
电脑病毒的危害性大家应该都体验过了,那么中毒后,自然是杀毒,不过杀完毒后也常常会给我们带来一些麻烦。建议阅读本文之前,你先了解一些手动杀毒的知识。
手动解决病毒的能力是区分菜鸟和高手的标志之一。因为杀毒软件仅能杀毒,但是很多病毒除了破坏行为外,还会对系统产生影响,大致表现为残留文件及修改系统文件、注册表。
对于“残留问题”,一般表现为残留病毒副本文件,残存服务、键值等。而所谓的修改系统,一般指修改文件关联、添加启动键值等。
病毒种类繁多,破坏手段也是各自相异,很难总结出一个通性通法来处理所有问题。但是实践证明尽量多的积累手动处理病毒的经验方法是十分必要的,除非你愿意每次中毒都重装系统。
病毒都干了些什么?
虽然新病毒层出不穷,但其破坏手段是有共性一面的(当然病毒未必是“破坏”这些目标,只是借助于修改这些系统关键文件来更好实现自身某些行为):修改系统配置文件、修改注册表、修改文件关联、捆绑文件、修改本地HOST文件(常见于恶意网页实现自己的恶意指向)。
由于病毒修改了上述文件,而一些杀毒软件不能修复这些错误,所以可能会出现以下问题:
1.启动系统后,提示XXX文件找不到;
2.不能进入系统(可能是不能启动或者不能进入系统界面);
3.可以进入系统,但是系统提示错误(文字提示或系统报错声音提示,可通过“事件查看器”查看没有正确启动的服务);
4.文件关联错误,文件不能正常打开;
5.网络功能不正常,比如不能正常升级病毒库或浏览网页(由于修改了HOST文件,造成错误的指向)。
修复被病毒破坏的系统
明白了一般病毒的典型破坏办法,我们总结病毒“后遗症”的解决办法如下:
1.找不到文件
遇到这种情况,根据不同系统,需要注意的内容也不同。
Windows
9x/Me:系统目录中Win.ini的[windows]字段下load=和run=两项后面是否为空白(如果有,则删除去);系统目录中System.ini的[boot]字段下shell=Explorer.exe项及[386Enh]字段也是应该注意的。上述位置修改后,如问题没有解决,就要用Windows安装盘覆盖安装一次,进行修复了。
Windows
2000/XP:应注意的文件有Autoexec.bat、Config.sys以及Winstart.bat,除此之外,还有一些加载项已经移动到注册表中,需要注意的注册表项有:
[HKEY_CURRENT_USER\Software\Microsoft
\Windows
NT\CurrentVersion\Windows],其下的Load键就是自动加载的项目命令行,默认键值应为空。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows
NT\CurrentVersion\Winlogon],其下的shell键就是系统“外壳”,其默认键值应该为“C:\Windows\explorer.exe”(不含引号)。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run],每个键值对应一个自启动程序,对所有用户长期有效,如果进入系统后,马上弹出有文件未找到,但系统的运行没有问题,遇到这种情况,你就需要在此项中修改了。当然,除此注册表中的内容外,还要注意“开始”菜单中“启动”项下的内容。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices],所有用户长期有效,默认Windows 2000专业版有此项,默认为空白,Windows
XP无此项,如果出现可以删除。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce],所有用户下次启动加载一次其中的程序,默认应为空白。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce],所有用户下次启动加载一次,默认Windows
2000/XP都无此项,如果出现可以删除。
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run],每个键值对应一个自启动程序,对当前用户长期有效。
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServices],对当前用户长期有效。
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce],对当前用户下次启动时加载一次。
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunServicesOnce]对当前用户下次启动时加载一次。
[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\ShellExecuteHooks],根据CLSID,实现调用ShellExecuteHooks接口以加载COM对象,默认有键名为“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”,键值为空的键。
[HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services],这个是系统“服务”的位置,对于病毒残留的服务项目,通过“事件查看器”(一般病毒删除后,加载的服务都会出错,体现在事件查看器)找到出错服务,并且确认是病毒遗留服务,删除即可。
如果是已经无法进入的系统,那么最简单的方法就是用Windows安装光盘对系统进行修复即可(Windows
XP的修复可参考《Windows的救命大师──原位升级》一文)。
来源:CFAN
2.文件关联错误型
修改常见文件的关联是病毒惯用的伎俩,好在这已经不是问题,现在国内厂商的杀毒软件基本都带有专门的链接修复工具,即使没有,只要进入注册表的[HKEY_CLASSES_ROOT\***file\shell\open\
command](其中***代表扩展名比如TXT),修改“默认”键的键值为“”%1”%*”(不含外侧引号)即可。但要注意INF与TXT文件的键值为“%SystemRoot%\system32
\notepad.exe
%1”(不含外侧引号)。
3.引导分区被破坏
这里主要指由病毒导致的引导分区破坏,如果你的电脑出现了软盘读写出现错误、无故读取软驱等问题,那么很可能是中了引导区病毒,解决方法可以参考《病毒大扫除引导区病毒篇》。
4.残留文件、系统服务型
病毒残留(副本)文件主要是一些TMP文件,这些文件一般不可能具备条件再发作,但是也应该是我们的清理对象,直接删除电脑中全部的TMP文件即可。
5.网络功能不正常型
网络不能正常使用的原因很多,具体到清除病毒后不能正常浏览网页的表现和原因一般是如下两种方式。
①不能浏览某个(些)特定网址
这种情况,可以检查本机HOST文件,修改恢复即可,位置在C:\Windows
\system32\drivers\etc(Windows
XP操作系统),注意该文件没有扩展名,用“记事本”打开该文件后修改即可,一般只保留其中的“127.0.0.1
localhost”(不含中文引号)一行即可。
②IE故障
IE的修复技巧我们已经在《杀毒后的处理──IE修复技巧三则》中进行过介绍,这里不再重复。
来源:CFAN
实战排障
为了让大家有些具体感官印象,下面就常见病毒简单举些例子。
1.五毒虫
由于该病毒会向注册表的[HKEY_CURRENT
_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows]中添加"run"="RAVMOND.exe"键,而有些杀毒软件清除病毒后,并没有删除该键,因此进入系统后,会提示找到不到文件RAVMOND.exe,这时只要删除即可。另外病毒还会创建名为“Windows
Management Protocol v.0 (experimental)”和“_reg”的两个服务,服务对应的病毒文件名为msjdbc11.dll
和ondll_server。清除病毒文件后再次进入系统会发现系统出现报错的声音,但并没有文字提示,于是进入“控制面板”,打开“事件查看器”,发现服务运行错误,而服务名就是“Windows
Management Protocol v.0
(experimental)”和“_reg”,打开“控制面板→管理工具→服务”,会发现这个“_reg”服务排在最上面,但是微软操作系统默认的“服务”没有以下划线起名的,因此比较容易判断是不是系统或者正常软件“服务”,然后进入注册表[HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services]项,找到相关名称删除即可。而“Windows Management Protocol v.0
(experimental)”服务由于名称上有具有一定的迷惑性,因而可能有些用户在这样的情况下不敢轻易删除,其实大可不必,因为“服务”已经出错了,就算不删除也不会正常工作的。
2.MSN尾巴
该病毒会将注册表[HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]中“Userinit”键的键值从“%System%\userinit.exe”改为“%System%\userinit32.exe”,让用户无法进入系统。解决办法是用系统启动光盘启动到故障修复控制台,然后输入以下命令
cd
system32
copy userinit.exe userinit32.exe
重新启动即可(此方法仅适用于Windows
2000/XP)。
关于病毒“后遗症“的处理,是我们每个人都可能会遇到,并值得关注的。由于病毒破坏特点千变万化,而且涉及方面较多(比如病毒导致系统瘫痪恢复系统一块,实际上属于“数据恢复”层面的专业内容)普通用户在一定程度上难以驾驭。所以,经常备份才能保证系统安全。
来源:CFAN
漏洞再现:病毒变图片,轻松入侵你的电脑
影响系统:Windows XP SP1/SP2、Windows 2000、IE
6.0
在Web网页中右击图片选择“图片另存为”命令保存图像文件时,如果该图像文件名包含多个扩展名,IE默认设置会擅自去除最后的扩展名并保存。利用这一漏洞,入侵者就可以进入你的系统了。
例如,一个包括有恶意代码的图片文件123456.hta.jpg,在另存为后,会保存为123456.hta,而当你不小心执行(打开)123456.hta时,Windows会将该文件解释为HTML文件,并执行其中代码。如果把代码换成木马源代码并加以修改,就成为了木马新的传播途径。可以说这是ActiveX控件漏洞的一个变形利用,因为用户下载图片时代码不运行,所以很有可能避开防火墙和杀毒软件的监视。想想看要是一个壁纸下载网站用了这种方法……
补“洞”方法:目前连Windows
XP
SP2也难逃这个漏洞,直到截稿时,微软也尚未公布解决补丁。只能通过如下方法来避免被攻击:打开“资源管理器”,将“工具”菜单“文件夹选项”设置中的“隐藏已知文件类型的扩展名”勾选去除。这可避免IE擅自修改文件扩展名,以免出现上述漏洞。
漏洞再现:几行代码就可判断出系统安装的软件
影响系统:除Windows XP
SP2外的几乎所有系统
IE在处理"sysimagE://"协议时存在问题,远程攻击者可利用这个漏洞判断目标系统中安装的软件。
比如,攻击者提交如下代码:
<img
src="sysimagE://C:\WINNT\Notepad.exe,666"
onLoad="document.write('<b>Cannot
Find File!</b>');"
onError="document.write('<b>File
Exists!</b>');">
如果用户存在这个漏洞就会显示“记事本”的图标。可以看到入侵者很容易的把代码隐藏到正常的网页中。如果把返回的数据保存至数据库中,这样入侵者可以通过判断用户安装的软件(如利用Winamp、Ser-U等软件的漏洞)来进行攻击。
补“洞”方法:截止发稿前微软还位发布任何关于这个漏洞的补丁,IE6.01
SP1以下都受到这个漏洞威胁
(河北 香草天空)
罪犯名称:“证券大盗”木马病毒(Trojan/PSW.Soufan)
案情描述:该木马可以盗取包括南方证券、国泰君安等多家证券交易系统的交易账户和密码,黑客可以恶意操纵被盗股票,将某高价股票以低价卖出,然后自己买进后再转手卖出,赚取中间差价,给被盗股民带来巨大损失。
更为狡猾的是,它每次运行后即“自杀”,并删除自身在系统中留下的文件,达到消毁“罪证”的目的。
该木马曾被添加到某个人网站上(域名与知名搜房网http://www.soufang.com.cn相似),加速了传播速度。目前该网站已经被删除。
抓获方法:升级杀毒软件至最新版本即可查杀。
