经验之谈——关于病毒后遗症的处理
看到panxiaoting同学写的实习阶段总结,里面谈到了病毒对系统的修改。之前我用promon分析过学校机房的病毒(分析方法详见
http://bbs.ikaka.com/showtopic-8737585.aspx),有几个病毒后遗症问题是大家常遇到了,就写出来和大家分享下。
第一个是隐藏文件不能显示。
http://zhidao.ikaka.com/Aspx/Html/StaticHtml/320/320958.html症状就像上面那个求助者所说的,
文件夹选项里面这一项已经是显示隐藏文件了,
但实际上不显示通过分析病毒对注册表的修改,我找到了几个与此相关的注册表项。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
这个地方是最狠毒的,有两种情况
1.病毒直接把CheckedValue的值改成0.
2.病毒会把这一项删除掉,新建一个名字同样为CheckedValue的值,但是值类型却是REG_SZ,原本值类型是RED_DWORD。
大家两种情况都可以模拟一下,效果是一样的。
在文件夹选项里面选择了“显示隐藏文件和文件夹”,点确定关闭文件夹选项。再开文件夹选项,发现又跑回“不显示隐藏文件和文件夹”,要是不知道,肯定以为是有病毒进程在守护。修改方法也简单,删除病毒建立的REG_SZ值,新建RED_DWORD型的值CheckedValue,赋值1即可。
其他几个位置一样,我列在下面,值类型也要看清楚,别弄错。
位置:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden 值类型:REG_DWORD 值:1
位置:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden 值类型:REG_DWORD 值:1
位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ValueName 值类型:REG_SZ 值:ShowSuperHidden
还有一个是显示扩展名问题。
中毒之后会发现一个和神奇的现在,除了exe和com,其他文件的后缀名都在,就是那两个可执行文件的后缀名没了。
还是注册表
HKCR\exefile\NeverShowExt
HKCR\comfile\NeverShowExt
这两个的值被病毒改成1
顾名思义,就是永远不显示exe和com的后缀名,把值改回0,或者删除这两项值,然后刷新下即可解决。
最后一个地方是开关机执行脚本。
开关机脚本的介绍可以参考这篇文章
http://xiazai.zol.com.cn/article_topic/21/215565.html对应注册表位置是
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff\0\0\Script
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown\0\0\Script
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup\0\0\Script
症状是开关机的时候会显示“正在执行注销脚本”之类的信息,这是病毒起死回生的重要手段之一。
解决方案一样,直接删除对应的注册表值即可。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; 360SE)
