我的机子一直不太正常表现为:
1.鼠标乱动,怀疑为对方运行了如:按键精灵类软件所致
2.屏幕变形,以为对方调整显示设置所致
用鼠标检查屏幕可发现鼠标在右方显示不正常,将显示调小后可发现桌面处于以黑色窗口下
3.玩CS时有明显木马操纵现象
4.注册表中有多项可疑键
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
此处应只有为正常
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
理由:系统只可能有一个,以上两处应为系统下的系统设置,即子系统
依据:后缀名001 002可疑、键值内容相同
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-1993962763-492894223-1343024091
如未修复过系统此处不应有用户,且用户名为数字显示不是我所建立。
HKEY_LOCAL_MACHINE\SAM\SAM
此处sam项重复正常应为:HKEY_LOCAL_MACHINE\SAM
该项代表用户在注册表所处内容
5.用dos命令 natstat /an如下:
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 可疑连接
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 可疑连接
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING可疑连接
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING可疑连接
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING可疑连接
TCP 0.0.0.0:2721 0.0.0.0:0 LISTENING 可疑连接
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING可疑连接
TCP 0.0.0.0:6059 0.0.0.0:0 LISTENING可疑连接
TCP 127.0.0.1:445 127.0.0.1:2721 ESTABLISHED可疑连接
TCP 127.0.0.1:2721 127.0.0.1:445 ESTABLISHED可疑连接
TCP 169.254.96.177:139 0.0.0.0:0 LISTENING可疑连接
UDP 0.0.0.0:445 *:*可疑连接
UDP 10.16.1.50:500 *:*可疑连接
UDP 127.0.0.1:1155 *:*可疑连接
UDP 127.0.0.1:2621 *:*可疑连接
UDP 169.254.96.177:137 *:*可疑连接
UDP 169.254.96.177:138 *:*可疑连接
UDP 169.254.96.177:500 *:*可疑连接,此处怀疑是对方登陆端口
这种现象我估计只可能在影子系统运行后出现也就是说有两个内核地址,且UDP协议打开。
5.任务管理器中pid可疑项为:system IDle process pid为 0
记得网上有人这样解析:该pid是系统运行时为管理调用进程的程序,我以前也这样认为但在没有进入系统在dos下察看内存时发现在内存高端有system进程且此进程占据内存最高端。该进程在进入系统后应表现为system IDle Process
理由:栈原理,先进入后出。即此进程对系统有绝对控制权;正常应为进系统后system 占据最高内存。
6.从装系统后发现系统内容前后不一致,且在分区时没有0磁道;在一次分区时255扇区突然消失,用磁盘修复软件扫描没有发现错误。
分析认为:系统前后不一致应该是安装被劫持,也就是在安装时被病毒强行安装了备份系统,大家在遇到这类现象时可更换系统安装用新系统安装看前后是否一致
0磁道对与硬盘基于栈原理应有绝对控制权。
理由:我有一张软盘有一个磁道损坏,用新盘始终无法对其修复;只能修复到可用
个人认为是我修复时系统权限不够无法对其完全格式化。也有可能软区被虚拟所致,我认为权限不够可能性大。
7.电脑启动时不是从BIOS引导而是从硬盘开始;
理由:硬盘在启动时先怪响然后才听见电脑监测成功,即发出“滴”的声音;短接BIOS主版跳线重置bios、短接BIOS防刷跳线或更换硬件后会造成无法启动系统停止于黑屏;短接BIOS重置bios、不短接BIOS防刷跳线而只拔下硬盘启动时也会造成无法启动系统停止于黑屏。
分析:bios被硬盘劫持并每次启动时重复刷新以保证虚拟系统能正常启动运行,即前面所说的system一定要在最高端不然病毒在被发现后将失去对系统的控制权。以及失去隐蔽性不能达到良好的隐藏效果。
8.用磁盘管理软件察看磁盘底层发现:0-63扇区被劫持同时在有关系统登陆处有非法用户登陆。(可能我辈菜鸟认为磁盘底层高深难懂,殊不知在底层有关数据是明文纪录用磁盘管理软件我被菜鸟可轻松察看需要的是耐心,因为我是从0扇区开始在2000多扇区一页页察看发现的)
9.系统启动后任务管理器中PID 号不连续;正常为连续的偶数,个人认为pid只要以
system PTD 0 为正常;PID不连续可能对系统运行有好处,但对系统安全不利有可能造成非法进程插入高端进程,而基于栈原理该进程即有可能拥有对其下进程的绝对控制权。进而删除安全进程和启动病毒程序以及黑客程序或对黑客有帮助的系统进程如svchost.exe 我发现当系统有关服务启动时会在任务管理其中加载svchost.exe大家(菜鸟\高手勿试)可以在服务中禁用所有服务看看svchost.exe在任务管理其中消失了吧,只有用户用到相关服务时svchost.exe才会在任务管理其中运行。而且一个服务一个,所以在任务管理其中才会有多个svchost.exe。个人从字面上认为改进程是为服务打开端口所用。
10.当我在观看inf文件时发现此文件被病毒从内存直接删除多行,有时联网下关闭浏览器时发生地址读取错误有时运行程序也一样;分析认为:有人对系统进程DEBUG或是非法操作以及用户权限不够。
理由:曾用冰刃对系统检查发现系统DLL多处被DEBUG跳转。
11.运行系统时我发现有时CPU占用率达40%左右而我只打开了浏览器而已;或是CPU占用率不高但系统奇慢。分析认为:系统资源被非法占用。
理由:当我对系统进行安全设置后运行瑞星2010杀毒时上网系统并不向有的网友所说得慢,CPU占用率只有4%而我当时所用内存仅为256。且内存还留有80多
12.在线看电影时发现下载好的电影突然消失,甚至不能观看。
分析认为:下载文件被删除,既有可能是有人在清理系统垃圾所致
13.玩CS时发现有短时间网数时快时慢,而有次我按微软网站上的安全设置进行设置后,再次进入游戏后几分钟不到系统卡死机秒后网速显示为0,在CS中0网速通常代表主机。过几分钟后网速变为正常,但网游戏时在不像以前那样卡。分析认为:资源被占用后被系统夺回。
14.我的手机接到一祝福彩信看完后发现屏幕变形如我的计算机,当我将手机卡拔下插入以前的旧手机发现同样被感染。特征为:屏幕变形可能在别人的机子上屏幕时正常的,主要是中毒后手机待机能力大幅下降。有的机子在用手动搜索网络时可能会发现可用网络ID不光有移动和联通还有一个异常ID:450....该ID机有可能时用来监控你的端口或接口,还有在打电话时在耳机中会听见自己的回音声通常移动会告诉你信号不好。个人认为这是有人挂线所致,也就是说你开了类似三方通话的功能。
分析认为:该病毒应能通过手机卡传播。
总结:
该病毒对BIOS和硬盘双向劫持并在每次开机时对BIOS重新刷新而且防止其它BIOS刷新程序运行且占用内存最高端和硬盘0磁道、劫持IDE\PCI、以及软区造成死锁使用户无法删除。自动安装摄像头驱动对用户进行视屏监控,最终我发现病毒时通过我购买的盗版光盘安装于系统。理由:在光盘中有一BIOSinfo.inf文件病毒运行原理在其中一目了然。有的网友在从装系统后老是发现有病毒而清除不了可能就是安装盘所致。
我的应对方法:
1.将BIOS和硬盘分别处置,刷新BIOS 只要短接BIOS跳线用软盘刷新即可,刷新时不可带硬盘启动。格式硬盘时应在刷完bios后用软盘启动格式化硬盘或在别的有管理员权限的机子上进行,格式时应注意友人电脑被病毒传染。可在电脑启动后将硬盘接在光区处格式化硬盘即可。
2.手机应去客服处刷新并重新制张新卡。
3.病毒删除后对BIOS进行防刷设置,安装硬盘保护程序或硬件推荐三茗或其他硬盘保护卡,安装最新驱动安装机器狗补丁;不将硬盘设置为第一引导。用光盘装软件或系统时先察看光盘有无病毒,建议不要使用市面最新光盘。因杀毒软件可能对其不能识别。
4.虽说我中此病毒但我通过对其观察和反设置从中获益不少,明白了磁盘底层基本原理和基本熟悉系统安全设置。能够有此收获4399中一游戏对我帮助不小不亚于此病毒甚至有可能超过,这个游戏就是战斗棋;它对我理解磁盘底层很有帮助,大家有兴趣可以去玩玩看。
5.不要将摄像头和手机摄像头放在自己的视线之内,不要将重要的东西存在手机中;手机中毒后可停止GPS服务防止数据传播。
不知道我说的对不还请高手指正!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; 360SE)
