首页
社区
课程
招聘
中毒了,怎么处理,帮看看
发表于: 2010-10-14 23:02 9541

中毒了,怎么处理,帮看看

2010-10-14 23:02
9541
最近发现电脑有点不正常,表现如下:
1、打开一文档,很慢,要等半天,哪怕文档只有几个字
2、鼠标时不时会变忙一下
3、资源管理器查看文件夹反应迟钝
4、“网络连接”里什么都看不见,但用ipconfig /all显示正常
5、服务里查看“依存关系”时报错:win32 拒绝访问
6、wmi无法使用,连接到服务器,拒绝访问,wmic无法使用

wmic:root\cli>process
错误:
代码 = 0x80070005
说明 = 拒绝访问。
设备 = Win32
wmic:root\cli>
7、计算机管理--存储--磁盘管理,报错:无权限访问
8、运行dcomcnfg,打开组件服务,会直接退出
日志为hr = 80070005: InitEventCollector failed
服务器应用程序名: COM+ Explorer
错误代码= 0x80004005 : 未指定的错误
COM+ 服务内部信息:
文件: f:\xpsp3\com\com1x\src\shared\util\svcerr.cpp, 行: 1259
Comsvcs.dll 文件版本: ENU 2001.12.4414.702 shp

ps:我是管理员用户,并且将组策略--“用户权利指派”里将所有权限都添加了管理员组

于是用xuetr查看了下

进程里没发现什么可疑进程,查看进程模块,也没发现有可疑模块注入

内核模块里只看到dump_iastor.sys有点可疑,文件不存在(感觉像是intel的东西,但为什么不存在),截图如下

内核里系统回调栏有三个红色的未知模块,如下


过滤驱动里没发现可疑的

DPC定时器里有几个未知模块


对象劫持里有两个


GDT正常

钩子里SSDT里正常,只有DT的和杀软的,但最下方的备注里有个提示


SHADOWSSDT里都是XUETR的

FSD里主要是DT的

ATAPI里有奇怪的红色atapi.sys


消息钩子里都正常

系统中断表里有10个未知模块IDT HOOK


启动项和服务里均没发现可疑的

大家帮忙看看,我是否中毒?还有如果是中毒,怎么清除,我将可疑的hook 恢复或删除没用啊,好多未知模块,找不到根,处理不了,怎么解决未知模块的问题,谢谢!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 196
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
帮顶一下。

1、打开一文档,很慢,要等半天,哪怕文档只有几个字

打开方式里选择程序会有两个记事本吧,选另外一个看看。

2、鼠标时不时会变忙一下

会不会中了灰鸽子之类的远程控制,仔细查查。
2010-10-15 09:01
0
雪    币: 216
活跃值: (171)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
病毒太多,可能已经替换了你的系统文件,还是重装系统或还原吧
2010-10-15 09:18
0
雪    币: 934
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
首先全盘杀毒,然后做下优化清理,最后看下吃CPU和内存的,查看下启动选项,如果是病毒它肯定是通过某种方式启动的吧,如果不是你自己主动点击的话,最好和事件错误日志里面对应的看下服务!祝你成功!
2010-10-15 10:21
0
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这种情况之下..我觉得还是重装省力..
不过要是需要搞技术方面的专研的话...不知道了...
以前有人给过建议说等电脑全装完以后就用cmd的命令列出C盘所有文件名和大小,等电脑感觉出了什么问题了,就可以拿这列表去比对,然后就可以一个个排除下来了...
顺便,觉得什么文件可疑的话,扔这里查查吧:www.virscan.org
2010-10-15 11:59
0
雪    币: 104
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
难呀,很难清理干净,!!
2010-10-15 13:43
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
有的病毒很难清理,但可以防护。这种情况建议重装。
2010-10-15 17:10
0
雪    币: 51
活跃值: (61)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
抓住这次学习的机会,细细剖析这个病毒!
2010-10-15 17:29
0
雪    币: 95
活跃值: (419)
能力值: ( LV9,RANK:310 )
在线值:
发帖
回帖
粉丝
9
谢谢各位热心帮助,我装了杀毒软件了,没杀出来,也不想重装系统,只想知道怎么对付这种东东,再研究研究吧
先看看那个sysenter hook 0x8a280960 ,这个值会变,如重启后变成8a257178
打开windbg,内核调试
lkd> uf 8a257178
8a257178 e99b96e52f      jmp     ba0b0818

ba0b0818 8bff            mov     edi,edi
ba0b081a 9c              pushfd
ba0b081b 60              pushad
ba0b081c 57              push    edi
ba0b081d 53              push    ebx
ba0b081e 50              push    eax
ba0b081f e840ffffff      call    ba0b0764                           
.......
ba0b0835 c3              ret

用hopy MM的工具http://bbs.pediy.com/showthread.php?t=104968直接更改call ba0b0764里的跳转指令,结果蓝屏,从dump文件中发现这段代码是hookport.sys的,是360的东西,虚惊一场,明天继续研究
2010-10-16 00:26
0
雪    币: 95
活跃值: (419)
能力值: ( LV9,RANK:310 )
在线值:
发帖
回帖
粉丝
10
哈哈,按照上面的方法,先uf 未知模块地址,查看调用的子函数,再对照xuetr内核模块里各驱动对应的基址和大小,就可以确定是谁的那
如系统回调入口 8884a500  shutdown 未知模块
lkd> uf 8884a500
8884a500 8b542408        mov     edx,dword ptr [esp+8]
8884a504 8d4c2404        lea     ecx,[esp+4]
8884a508 50              push    eax
8884a509 8bc4            mov     eax,esp
8884a50b 50              push    eax
8884a50c 6810a38488      push    8884A310h
8884a511 b8405decb9      mov     eax,0B9EC5D40h
8884a516 ffd0            call    eax
。。。。。
8884a51f c20800          ret     8
上面调用了0b9ec5d40,在内核模块里查找,发现是属于虚拟光驱驱动sppk.sys的代码里
2010-10-16 01:08
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
重新分区,再重装系统。
2010-10-16 10:01
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
上次找了个命令行杀毒希望对你有帮助。

[转]http://bxbx258.blog.51cto.com/339450/122373

目录

第一部分  简介
第二部分 实战
第三部分 文档+下载

=================================----------------简介开始-----------------------==========================
中病毒了,中木马了,第一步干啥??上网找专杀?开启杀软杀毒?到别的电脑下载,然后U盘传过来?这些杀毒方法,有一个致命的缺点,就是电脑中病毒已经运行了。
病毒有啥功能??对抗杀软,劫持“病毒”“专杀”有关字眼,破坏专杀,U盘感染。我们要想在病毒运行的过程中杀掉病毒,困难非常大。另外,现在的病毒利用驱动技术过滤进程、文件、注册表、端口,想想都可怕。那么怎么样杀毒才最有效?
在病毒没有运行的时候,杀毒!

病毒再厉害,也需要运行后才发挥作用,我们中毒后第一件事情就是停止病毒的运行。那么怎么停止病毒的运行呢?杀病毒进程?不行,进程已经被过滤了,而且驱动在不停的监控进程。最好的方法就是在病毒被windows装载前就禁止掉。几乎所有病毒是靠后缀名来运行的,windows运行一个普通的可执行文件的时候是靠后缀名关联来运行的,{system csrss lsass smss 等系统核心进程则不是这样}

如果我们更改了病毒的后缀名关联,病毒将在重启系统后不能加载!

常见的文件关联:[CMD下操作结果]

    C:\Documents and Settings\Administrator>ftype exefile
    exefile="%1" %*

    C:\Documents and Settings\Administrator>ftype batfile
    batfile="%1" %*

    C:\Documents and Settings\Administrator>ftype scrfile
    scrfile="%1" /S

    C:\Documents and Settings\Administrator>ftype comfile
    comfile="%1" %*

    C:\Documents and Settings\Administrator>ftype cmdfile
    cmdfile="%1" %*

    C:\Documents and Settings\Administrator>ftype vbsfile
    vbsfile=%SystemRoot%\System32\WScript.exe "%1" %*

    C:\Documents and Settings\Administrator>ftype jsfile
    jsfile=%SystemRoot%\System32\WScript.exe "%1" %*

    C:\Documents and Settings\Administrator>ftype htafile
    htafile=C:\WINDOWS\system32\mshta.exe "%1" %*

    C:\Documents and Settings\Administrator>ftype txtfile
    txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1

现在我们的思路就是,中毒的时候,首先新建立一个可执行文件类型,比如.xxx,
看下面的命令:

    assoc .xxx=xxxfile
    ftype xxxfile="%1" %*
    copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx    /y

好了,现在在开始->运行里面输入cmd.xxx,然后回车,发现了cmd运行了!

CMD运行了,我们的天空就灿烂了,现在就可以让一切病毒木马瘫痪了,木马病毒就完蛋了!

继续运行下面的命令:

    assoc .exe=txtfile
    assoc .com=txtfile
    assoc .scr=txtfile
    assoc .cmd=txtfile
    assoc .bat=txtfile
    assoc .vbs=txtfile
    assoc .js=txtfile
    assoc .hta=txtfile

我们重新启动电脑吧!exe/com/scr/cmd/vbs/js/hta文件都运行不成拉!包括病毒在内,包括杀毒软件在内,重启后都运行不成拉!
这就达到了我们的目的:在病毒没有运行的时候,杀毒!

然后呢,我们怎样来运行杀毒软件呢?就是使用CMD.xxx

或者你把杀毒软件后缀名改成.xxx。不过还是建议直接用CMD.xxx。

具体方法:

点击开始->运行,输入cmd.xxx,然后进入杀毒软件的文件夹,把杀毒软件的主程序用鼠标拖到cmd窗口上,再按回车键,杀毒软件就打开拉!
现在你可以扫描系统了,现在是病毒没有运行呢。现在你可以到同学的电脑上面下载专杀了,再次强调下,
运行杀软或者专杀之前需要把杀软或者专杀的主程序拖到cmd的窗口上面,然后回车键运行!

等你确定电脑无病毒了,然后再运行下面的命令恢复后缀名关联:

    assoc .exe=exefile
    assoc .com=comfile
    assoc .scr=scrfile
    assoc .cmd=cmdfile
    assoc .bat=batfile
    assoc .vbs=vbsfile
    assoc .js=jsfile
    assoc .hta=htafile

现在你确定没有病毒了,如果有病毒的话,那么说明你的专杀拉,还有杀软拉都是废品!!!为啥呢?自己想想呗,病毒都没有运行,你们还干不掉他们?

=================================----------------简介完毕-----------------------==========================

=================================----------------实战杀毒-----------------------==========================

上面的粗略介绍了原理,下面是具体的按时间顺序的实战操作步骤:

【假如你已经中毒了】

首先,把命令做成一个批处理,中毒后首先运行这个批处理
    assoc .xxx=xxxfile
    ftype xxxfile="%%1" %%*
    copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
    assoc .exe=txtfile
    assoc .com=txtfile
    assoc .scr=txtfile
    assoc .cmd=txtfile
    assoc .bat=txtfile
    assoc .vbs=txtfile
    assoc .js=txtfile
    assoc .hta=txtfile

严重提示:运行批处理的时候,两个百分号%%代表一个百分号%,单独在CMD里面打入命令只用一个百分号%!

然后重启电脑,重启后,很多病毒都被记事本打开了,正常的自启动文件也会被记事本打开的,不过不要怕,千万不要动那些记事本。

点击开始->运行,输入cmd.xxx,在cmd.xxx下面用这个命令就可以关闭所有的记事本拉,
引用:

    taskkill.exe  /f /im notepad.exe

【可能你会问,为啥在cmd.xxx里面运行exe就可以啊,这个就要问微软了!这个就是系统的秘密咯!】

然后用杀毒软件和专杀杀毒,就是把主程序拖到cmd.xxx窗口上面然后回车运行。

最后一步,重要!等病毒被杀光后,再把这个命令复制到cmd.xxx里面回车运行

    assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile

然后呢,你的电脑就恢复到中毒前的无毒状态了,当然被病毒破坏的地方不算,这些留给杀软和辅助软件修复或者手工修复。

收尾+论功行赏:

现在我们列出立了大功的windows的自带工具

cmd.exe  以及内置的assoc命令和ftype命令

不要忘了我们自定义的.xxx和xxxfile哪!其实.xxx可以换成任何一个你喜欢的东西,比如.xxxx,四个x都可以。
也可以换成.123也可以.xyz随你便,只要不要被病毒知道把你的.xxx删掉就好拉!!
然后这个.xxx的文件关联呢,你想删除么??如果下次中毒了,还可以用上哪,所以就不用删除了。
想删除的话,用这个命令就可以拉.

    ftype xxxfile=  & assoc .xxx=  

=================================----------------实战完毕-----------------------==========================

里面的具体内容我就贴上来吧:

第一个文件:

![重要]使用说明.txt

    注意:
    如果只想测试的话,不用重启电脑,直接运行第一步,第三步,第五步(不是必须的),第六步即可
    第一步.双击“杀毒后运行.bat”

    第二步.重启电脑后进入第三步
    第三步.开始->运行,输入cmd.xxx,回车后就打开了CMD.xxx窗口.
    或者直接双击我提供的cmd.xxx

    第四步.打开"关闭notepad.txt",照里面的说明做
    第五步.等那些记事本窗口关闭后,你可以把专杀或者杀软的主程序拖到CMD.xxx窗口上面运行就可以扫描病毒了,这一步是最重要的拉,一定要把最好的专杀拿上来杀毒,或者手工删除一个个病毒都可以,这个时候病毒没有运行,我们就可以轻松把病毒搞个魂飞魄散拉!
    第六步.杀毒完毕后,打开"杀毒后运行.txt",照里面的说明做
    补充说明:

    第六步后,系统中留下了.xxx的文件关联,你只需运行下面的命令就可以删除这个关联了。
    ftype xxxfile= & assoc .xxx=

    完毕!

第二个文件:
杀毒前运行.bat

    assoc .xxx=xxxfile
    ftype xxxfile="%%1" %%*
    copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
    assoc .exe=txtfile
    assoc .com=txtfile
    assoc .scr=txtfile
    assoc .cmd=txtfile
    assoc .bat=txtfile
    assoc .vbs=txtfile
    assoc .js=txtfile
    assoc .hta=txtfile

第三个文件:
关闭notepad.txt

    把下面的东西复制然后在cmd.xxx窗口上按鼠标右键粘贴然后按回车键运行就可以关闭notepad了
    taskkill.exe  /f /im notepad.exe

第四个文件:
杀毒后运行.txt

    把下面的复制然后在cmd.xxx里面按按鼠标右键粘贴然后按回车键运行就可以拉
    assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile

第五个文件:
cmd.xxx

这个cmd.xxx就是cmd.exe改名的,呵呵,就不必贴上来了?难道要贴二进制?嘿嘿.

=================================----------------全文完毕-----------------------==========================
2010-10-16 10:48
0
雪    币: 50
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
厉害!
殊不知是否真的有效!
求原理!
求实战后的反馈!
2010-10-16 11:51
0
雪    币: 401
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
看起来不像中毒,或许是禁用了某些服务或者误删了某些系统组件的原因。最好还是回忆一下出现这种情况前自己的操作。
2010-10-16 14:00
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
哈哈,计算机菜鸟告诉你:你中了TDSS啦。
用卡巴的专杀tdsskiller试试吧。
不过,建议大牛用这个工具找出被感染的系统驱动文件吧,至于修复,在虚拟机上是修复成功的。我实机修复后,系统崩溃。
上传的附件:
2010-10-16 20:01
0
雪    币: 95
活跃值: (419)
能力值: ( LV9,RANK:310 )
在线值:
发帖
回帖
粉丝
16
12 楼不错的方法
14楼说的不错,权限不够的问题我也觉得可能是动了哪里的设置
15楼 的工具不错,可惜没查到可疑的东东。。。

谢谢大家的热心帮助,结贴了
2010-10-17 11:04
0
雪    币: 95
活跃值: (419)
能力值: ( LV9,RANK:310 )
在线值:
发帖
回帖
粉丝
17
今天终于解决了那些奇怪的问题,原因是我将组策略里---用户权利指派---跳过遍历检查--将users,everyone删除导致的,重新添加即可
不过还是想不明白,因为我是管理员,且这个权利即SE_CHANGE_NOTIFY_NAME里已经有管理员组了
后来在虚拟机上试验,发现没有上面的怪问题。。。
2010-10-18 19:18
0
游客
登录 | 注册 方可回帖
返回
//