印象中自己是一个很懒的人,不怎么喜欢摸索,就算摸索了也不怎么发什么原创的和技术哪怕有一点点关系的贴子,今天就来破一个例,希望以后自己能常常摸索出能以发他为自豪的贴子~~
首先说说,大家都知道,最近U盘病毒那叫一个猖獗啊….凡是在打印店打过的U盘,没有一个不中毒的….而这些毒变种又多,再加上国际光缆还是没有修好,导致目前很多病毒的肆虐(比如说很牛X的熊猫烧香),而一些不起眼的小毒(比如我们这篇要说的soundmix.exe和autorun.inf)也是请神容易送神难~
症状:
常见的症状就是U盘目录下有一个隐藏文件:Autorun.inf,一个隐藏文件夹Recycled(内含一个隐藏文件autorun.exe).格式化U盘删除autorun.inf后又会自动生成.同时,用户无法勾选"工具 -> 文件夹选项 -> '查看"选项卡中的'显示所有文件和文件夹",一点确定完病毒自动将其设置为"不显示隐藏文件和文件夹".另外,在任务管理器中会发现一个soundmix.exe进程,无法结束(表现为结束后过一段时间自动加载).最后,U盘上有指示灯的朋友会发现指示灯每隔一段时间会闪一下.
分析:
我们先从最容易分析的指示灯开始.指示灯亮说明了不断的有程序在读写U盘,那么,我们就要借助下面的一个软件:FileMon,来实时监测到底什么软件在读写U盘.
[quote]
具体操作很简单,首先在分区菜单项中选定要监测的分区,然后用工具栏上的"捕获事件"按钮(或在菜单项"文件"上,或使用键Ctrl+E),一会儿就会出来结果,到底是什么东西在访问U盘
23:33:11 soundmix.exe:2824 Create N:\RECYCLER\ NAME COLLISION Options: Create Directory Access: 00100001
23:33:11 soundmix.exe:2824 Create N:\RECYCLER\autorun.exe NAME COLLISION Options: Create Sequential Access: 00130196
23:33:11 soundmix.exe:2824 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00100100
23:33:11 soundmix.exe:2824 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 CLOSE N:\autorun.inf SUCCESS
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 Create N:\autorun.inf SUCCESS Options: OverwriteIf Access: 00120196
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 WRITE N:\autorun.inf SUCCESS Offset: 0 Length: 201
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 CLOSE N:\autorun.inf SUCCESS
23:33:12 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 WRITE N:\autorun.inf SUCCESS Offset: 0 Length: 4096
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileStandardInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileStandardInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120181
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 READ N:\autorun.inf SUCCESS Offset: 0 Length: 8192
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
从上面的日志中我们可以看到soundmix.exe在不停的Create然后Write文件到U盘,这就是U盘指示灯不停闪以及格式化U盘删除autorun.inf后又会自动生成的原因了.
[/quote]
找到原因是soundmix.exe引起的,那么就要想办法解决这个罪魁祸首了,可是,这时候,我发现,无论用什么东西,都是结束这个进程后他又会自动启动.进入安全模式也一样,这就奇怪了,难道是什么东西调用了他?
当时还以为是rundll32加载了这个模块,然后在执行了regsvr32 /u soundmix.dll后提示找不到模块,那么会是什么原因呢~~在搜了一番注册表后发现了问题…
[quote]
注册表的以下两个路径:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
的exefile键值都已经被改为soundmix "%1" %*
问题找到了,原来他擅自更改了系统EXE的关联,那么一旦运行exe就会自动运行soundmix.exe了,难怪我们一直结束不了它…
[/quote]
这时候,删除它的唯一方法就是进入DOS下了,可是我的机器上没有软驱,无法使用启动盘,怎么办呢?~~突然,我想到了XP安装盘自带的故障控制修复台,那时候尚未加载系统,系统的EXE关联一定不会影响到我们的操作,说干就干,拿出了安装盘,进入了故障控制修复台,本来还想是不是可以直接用ftype(一个命令行下修改文件关联的命令),结果发现不行…于是用help查询了一下支持的命令,发现了delete,OK,就用它了~~把%windir%\system32下的soundmix.exe直接删除掉,回到系统,这时候关联已经被破坏,不能直接运行regedit.exe,方法就是把exe改为com,这样就可以运行了.到上述的两个路径下将键值恢复为:"%1" %*,这样exe的关联就恢复了,可是,你会发现,"显示所有文件和文件夹"仍然无法选定,这个就简单了,进入路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue改成1即可(注意这里有的病毒会把CheckedValue的类型改在REG_SZ,而我们需要的是REG_DWORD,方法就是删除后自己新建一个即可).最后,格式化U盘,至此,这个病毒彻底滚了~~
小结
一个小病毒也这么麻烦….实在是~~不过这个病毒让我学到了不少知识,比如,使用filemon监测磁盘读写,使用ftype查看文件关联,还有一些常用的注册表键值所在路径等~~果然摸索还是有意思滴~~
核心步骤
用任何可以不加载系统就进入命令行(如DOS启动盘或者从光盘启动进入DOS或者故障控制修复台),之后应该要首先去掉soundmix.exe的各种属性:attrib -s -h soundmix.exe,尤其是这个-s,它标识了soundmix.exe是一个系统文件,如果不去掉的话将无法使用delete(或者del)命令删除,然后就是恢复EXE文件的关联和将显示隐藏文件的注册表项改回来.
希望这些对大家删除这两个该死的讨厌的东西有用~~
最后,希望大家百毒不侵哈~~平时做好预防工作还是比什么都重要~~
我说我U盘和MP3下面的东西是什么呢…
小推也中了…上次他问我我还说狗狗去,结果回头发现我也有….
哥们儿,我今天也中了这个毒,杀过之后发现一个严重问题……控制面板下许多任务都不能执行了,弹出了红框RUNDLL:c:\Windows\System32\……出错 丢失条目 …… 要了命了~连添加删除程序都不行了~有什么良方么?恳请赐教!多谢!
如果有的话麻烦你能告知我么?
qq 282127712
我这是第2次中奖了,问题是我家KAV把SOUNDMIX.EXE删了,"核心步骤
用任何可以不加载系统就进入命令行(如DOS启动盘或者从光盘启动进入DOS或者故障控制修复台),之后应该要首先去掉soundmix.exe的各种属性:attrib -s -h soundmix.exe,尤其是这个-s,它标识了soundmix.exe是一个系统文件,如果不去掉的话将无法使用delete(或者del)命令删除,然后就是恢复EXE文件的关联和将显示隐藏文件的注册表项改回来.
"
所有桌面的打开方式,除了我的电脑,还有开始菜单里的浏览器和宽带连接有用之外,别的都是打开方式出现..
我应该怎么样改过来呢???
偶的qq:63164030
枫哥哥。我的电脑又有问题了。郁闷啊
病毒名:Trojan-downloader.win32.agent.bbb
位置c:\windows\system32\divers\wbvrm.sys
病毒名Trojan-downloader.win32.agent.bdd
位置c:\windows\system32\xhmta.dll
用卡巴杀了半天杀不掉。每次杀都说要卡巴重启电脑才可以3,可是都没弄掉。安全模式里也3不掉。
这个到底是什么病毒。有什么危害。怎么处理比较容易?
还有,有在百度别的帖子里看到有人说直接加入到卡巴的信任区域里。这个信任区域是什么意思。那样做可行吗?
我现在不敢开Q。就冒险开maxthon..呼。。bless
这个分析很有用.我杀掉了。
呀?能找出这么早以前的文章…厉害…
说明枫GG的日志作用很大。时效性很弱……
话说我那个病毒还没杀。。放弃了。[redface]