临沂PC在线-免费的教育教学网络资源-临沂电脑网
穿冰点 | 机器狗 | IGM.exe病毒样本 | 免疫补丁 | 威金变种病毒样本 | IGW.exe病毒样本 | 电脑系统发展简史 | 瑞星2007注册码-序列号 | 病毒防疫 | 三联 | hdtach | 硬盘测速 | 锁定IP | RAID模拟器 | 九月的雪病毒样本 | userinit.exe病毒 | ARP病毒样本最新 | 巧用U盘破除XP管理员密码 |
找找看:
磁碟机预防办法-PC539推荐
作者:佚名 文章来源:本站原创 点击数: 更新时间:2008-4-4上边是比较专业的解决办法,中间是一个简单通俗的方法,下边是磁碟机的病毒分析
看到不少坛友中了磁碟机病毒,觉得应该为坛子里的坛友做点贡献,奋战了两天,期间下载病毒共七次,重新恢复快照六次,终于把怎么制服磁碟机病毒的方法研究出来了,和坛子里的坛友共享一下我的成果,希望能帮到大家,都远离这个所谓变态的“毒王之王”方法很简单,就是利用了NTFS的权限,以达到控制磁碟机运行的目的,没有什么技术含量,希望高手不要见笑!!
根据这两天运行病毒,发现有几个共同点,就是一定要在系统盘的根目录、COM文件夹建立病毒文件,利用CMD还有CACLS这两个可执行文件,而这两个可执行文件,普通用户根本就用不到,可以完全利用NTFS的权限,拒绝运行!还有就是C盘的根目录和COM文件夹一般用户也不会在这两个地方建立文件的,这就给了我们思路,用NTFS的权限,不用注册表防护、不用策略和任何杀软(绝对适合菜鸟),也一样能让磁碟机运行不了!(更不要说不少的杀软在磁碟机的面前,已经很无奈了,而且号称自我保护很强的卡巴,一旦让磁碟机运行起来,也变得很苍白!)
详细设置见图:
先设置C盘的根目录的权限,如果其他的盘的根目录权限也像C盘这样设置,还可以有效的防止U盘病毒,看来windows的NTFS的权限给了我们无数diy的空间(前提是你的分区一定要是NTFS格式的)
默认的权限这里和我的是不一样的,无论你是什么样的,点高级,然后就会弹出下图,请接着看图:
按图上说明,先把下面的红框里的勾去掉,就会弹出个对话框,你点删除,然后上面的大红框里就是空的了,(修正一个错误,就是在分区的根目录那个小框里是没有勾的,就直接把大框里的删除,重新分配权限就可以了)然后点添加,就会出现下图,接着看图:
点击添加后就出现这个图,然后点高级,就会出现下图,请看图:
根据图片里的说明,选好用户组后,点击确定就出现下图:
直接点确定,就看到了下图里面的那个“权限项目”的图片,然后就按照那里的图示说明设置,以后都是这个步骤(但要看清图示,有的权限设置是不一样的!!),依次添加,看图:
先添加上面红框里的那两个组,一定要在“应用到”那里选“只有文件夹及文件”在“允许”里全部选上,一定要选组!切记!接着看图:
这里的三项的权限是一样的,按照图示,逐一添加(一定要细看图示,每一步都不能落下),接着看图:
上面的红框里的权限是一样的,也是看图示(这是为了大家能看清楚,其实要在设置的时候,可以在允许和拒绝的两个里面一起选,除了上面的完全控制外,底下的选框,可以对应着一起来,也就是允许里打勾的,拒绝里就不要打勾,允许里没打勾的,就在拒绝里打上勾)接着看图:
到这里C盘根目录的权限就OK了,也许你看图会觉得好像是很麻烦的,等你自己设置的时候就知道了,其实很简单的,下面是system32文件夹里的cmd.exe权限设置,cmd.exe的权限设置过程我没有详细的标出,因为上面的你会了,这里的步骤也是一样的,就是权限设置不一样,在选用户组的时候就选这三个就行,然后在拒绝里都打上勾,回到这里就是这样了。接着看图:
下面是system32文件夹里的cacls.exe的权限设置,同cmd设置是一样的,就不多说了,接着看图:
下面是system32文件夹里的COM文件夹的权限设置,接着看图:
这里设置完了,就回到了下图,这里要详细的说一下,就是在最下面的小红框里要打上勾,然后应用,在弹出的对话框里点“是” ,点完“是”回到这个界面是那个红框里的勾就会没有了,你不要认为没选上,接着挨个都选一遍,最后按“确定”。最后一步看图:
至此设置完毕,我已经在没有任何杀软和HIPS的情况下运行了两遍,就是在病毒运行的时候会出现程序错误,然后会没有桌面几次(也就是这个病毒调用,explorer.exe失败,造成的程序错误引起的)再就是setup.exe应用程序错误,引起的内存不能为read,点了能有十来次确定,就恢复正常,会有一个后遗症,就是你选了显示隐藏文件,你也会看不到根目录的隐藏文件,但是除了根目录的以外,别的文件夹里的隐藏文件能看见,这个病毒是有点“变态”••呵呵 这是铁军说的,不过确实说的有道理。这个问题我也已经解决,把下面的复制到记事本,保存reg文件,导入即可!或下载附件。(导入后要回到文件夹选项里,重新设置显示隐藏文件,就可以看到隐藏文件了)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
后话: 这两天绞尽脑汁就是本着为“菜鸟”想到简单、有效的、而且不影响电脑正常运行的办法这个思路(高手就根本用不到这个其实防磁碟机有N种方法)去想一个简单有效的方法适合菜鸟的,因为这些人不可能为了个病毒去学什么,怎么设置注册表(呵呵,这个我也玩不明白)、怎么设置组策略、甚至都有人不知道通配符和环境变量。
根据这两天的运行,发现windows清理助手可以完全的清理掉病毒的遗留文件(这是在病毒没有完全感染,还可以运行windows清理助手的情况下),在没有任何杀软、HIPS保护的情况下,按照上面的设置,运行病毒以后用windows清理助手和360安全卫生,进行全盘扫描,确认无任何遗留文件,然后用优化大师清理,OK!除了显示隐藏文件的注册表被恶意更改外,无任何异样。
最后:上面的设置在变态的作者还没有出现更变态的情况下,完全有效(这个有效是你在没有任何保护的情况下,运行这个病毒都不会中毒的!无论你是有意还是无意的都可以,这个设置只对磁碟机有效,别的病毒请不要尝试)
根据这两天运行病毒,发现有几个共同点,就是一定要在系统盘的根目录、COM文件夹建立病毒文件,利用CMD还有CACLS这两个可执行文件,而这两个可执行文件,普通用户根本就用不到,可以完全利用NTFS的权限,拒绝运行!还有就是C盘的根目录和COM文件夹一般用户也不会在这两个地方建立文件的,这就给了我们思路,用NTFS的权限,不用注册表防护、不用策略和任何杀软(绝对适合菜鸟),也一样能让磁碟机运行不了!(更不要说不少的杀软在磁碟机的面前,已经很无奈了,而且号称自我保护很强的卡巴,一旦让磁碟机运行起来,也变得很苍白!)
详细设置见图:
先设置C盘的根目录的权限,如果其他的盘的根目录权限也像C盘这样设置,还可以有效的防止U盘病毒,看来windows的NTFS的权限给了我们无数diy的空间(前提是你的分区一定要是NTFS格式的)
默认的权限这里和我的是不一样的,无论你是什么样的,点高级,然后就会弹出下图,请接着看图:
按图上说明,先把下面的红框里的勾去掉,就会弹出个对话框,你点删除,然后上面的大红框里就是空的了,(修正一个错误,就是在分区的根目录那个小框里是没有勾的,就直接把大框里的删除,重新分配权限就可以了)然后点添加,就会出现下图,接着看图:
点击添加后就出现这个图,然后点高级,就会出现下图,请看图:
根据图片里的说明,选好用户组后,点击确定就出现下图:
直接点确定,就看到了下图里面的那个“权限项目”的图片,然后就按照那里的图示说明设置,以后都是这个步骤(但要看清图示,有的权限设置是不一样的!!),依次添加,看图:
先添加上面红框里的那两个组,一定要在“应用到”那里选“只有文件夹及文件”在“允许”里全部选上,一定要选组!切记!接着看图:
这里的三项的权限是一样的,按照图示,逐一添加(一定要细看图示,每一步都不能落下),接着看图:
上面的红框里的权限是一样的,也是看图示(这是为了大家能看清楚,其实要在设置的时候,可以在允许和拒绝的两个里面一起选,除了上面的完全控制外,底下的选框,可以对应着一起来,也就是允许里打勾的,拒绝里就不要打勾,允许里没打勾的,就在拒绝里打上勾)接着看图:
到这里C盘根目录的权限就OK了,也许你看图会觉得好像是很麻烦的,等你自己设置的时候就知道了,其实很简单的,下面是system32文件夹里的cmd.exe权限设置,cmd.exe的权限设置过程我没有详细的标出,因为上面的你会了,这里的步骤也是一样的,就是权限设置不一样,在选用户组的时候就选这三个就行,然后在拒绝里都打上勾,回到这里就是这样了。接着看图:
下面是system32文件夹里的cacls.exe的权限设置,同cmd设置是一样的,就不多说了,接着看图:
下面是system32文件夹里的COM文件夹的权限设置,接着看图:
这里设置完了,就回到了下图,这里要详细的说一下,就是在最下面的小红框里要打上勾,然后应用,在弹出的对话框里点“是” ,点完“是”回到这个界面是那个红框里的勾就会没有了,你不要认为没选上,接着挨个都选一遍,最后按“确定”。最后一步看图:
至此设置完毕,我已经在没有任何杀软和HIPS的情况下运行了两遍,就是在病毒运行的时候会出现程序错误,然后会没有桌面几次(也就是这个病毒调用,explorer.exe失败,造成的程序错误引起的)再就是setup.exe应用程序错误,引起的内存不能为read,点了能有十来次确定,就恢复正常,会有一个后遗症,就是你选了显示隐藏文件,你也会看不到根目录的隐藏文件,但是除了根目录的以外,别的文件夹里的隐藏文件能看见,这个病毒是有点“变态”••呵呵 这是铁军说的,不过确实说的有道理。这个问题我也已经解决,把下面的复制到记事本,保存reg文件,导入即可!或下载附件。(导入后要回到文件夹选项里,重新设置显示隐藏文件,就可以看到隐藏文件了)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
后话: 这两天绞尽脑汁就是本着为“菜鸟”想到简单、有效的、而且不影响电脑正常运行的办法这个思路(高手就根本用不到这个其实防磁碟机有N种方法)去想一个简单有效的方法适合菜鸟的,因为这些人不可能为了个病毒去学什么,怎么设置注册表(呵呵,这个我也玩不明白)、怎么设置组策略、甚至都有人不知道通配符和环境变量。
根据这两天的运行,发现windows清理助手可以完全的清理掉病毒的遗留文件(这是在病毒没有完全感染,还可以运行windows清理助手的情况下),在没有任何杀软、HIPS保护的情况下,按照上面的设置,运行病毒以后用windows清理助手和360安全卫生,进行全盘扫描,确认无任何遗留文件,然后用优化大师清理,OK!除了显示隐藏文件的注册表被恶意更改外,无任何异样。
最后:上面的设置在变态的作者还没有出现更变态的情况下,完全有效(这个有效是你在没有任何保护的情况下,运行这个病毒都不会中毒的!无论你是有意还是无意的都可以,这个设置只对磁碟机有效,别的病毒请不要尝试)
一个网友的简单办法,清除磁碟机
删除如下文件:
c:\windows\system32\com\netcfg.dll c:\windows\system32\com\netcfg.000
c:\windows\system32\com\lsass.exe
c:\wnidows\system32\com\smss.exe
c:\windows\system32\dnsq.dll
c:\windows\system32\antitool.exe
c:\windows\system32\drivers\alg.exe
c:\windows\system32\drivers\npf.sys
c:\037589.log 注意这个文件名是可以变化的,可以到c盘根目录下一般不应该有log文件,可以考虑凡是这个位置的log文件全部删除掉。
当然,这些文件都是具有隐藏和系统属性,需要首先去掉。 此外还有每个磁盘下面的autorun.inf和pagefile.pif。此外,考虑到版本不同,你还应该仔细检查其他启动项,比如开始菜单->启动,看看还有没有~.exe文件,有的话一并删掉。
在注册表中删除所有的以c:\windows\system32\com\netcfg.dll为服务器的com组件。已知几个这样的组件,其clsid开头如下:
{450ec9c4...
{d9901239...
{814293ba...
前两个位于HKCU\CLSID,后面一个位于HKCU\TypeLib。
确保这些都清楚完毕之后,重新启动即可。
然后去百度搜索lsaa.exe和smss。exe专杀工具下载杀毒,在安装杀毒软件杀毒即可
c:\windows\system32\com\netcfg.dll c:\windows\system32\com\netcfg.000
c:\windows\system32\com\lsass.exe
c:\wnidows\system32\com\smss.exe
c:\windows\system32\dnsq.dll
c:\windows\system32\antitool.exe
c:\windows\system32\drivers\alg.exe
c:\windows\system32\drivers\npf.sys
c:\037589.log 注意这个文件名是可以变化的,可以到c盘根目录下一般不应该有log文件,可以考虑凡是这个位置的log文件全部删除掉。
当然,这些文件都是具有隐藏和系统属性,需要首先去掉。 此外还有每个磁盘下面的autorun.inf和pagefile.pif。此外,考虑到版本不同,你还应该仔细检查其他启动项,比如开始菜单->启动,看看还有没有~.exe文件,有的话一并删掉。
在注册表中删除所有的以c:\windows\system32\com\netcfg.dll为服务器的com组件。已知几个这样的组件,其clsid开头如下:
{450ec9c4...
{d9901239...
{814293ba...
前两个位于HKCU\CLSID,后面一个位于HKCU\TypeLib。
确保这些都清楚完毕之后,重新启动即可。
然后去百度搜索lsaa.exe和smss。exe专杀工具下载杀毒,在安装杀毒软件杀毒即可
看过此文章的网友同时还看了:
栏目导航
软件专区文章排行榜
最近更新的文章
- 电脑系统发展简史
- 讨价还价斗奸商——砍价的技巧
- 磁碟机预防办法-PC539推荐
- 全球广告巨头WPP称支持微软与雅
- 8家中央网络媒体签署网络版权公
- 中国雅虎发布奥运战略 推三款奥
- 50%的美国人首选从互联网获取
- Google Apps去年收入达4亿美元
- 马云:上海怕我们这样的创新公
- 北大教授:网络追杀盛行背后是
- 邮箱张冠李戴 旅游网站频收美军
- 武汉建立文化信息网逐步实现资
- 巴西一公司在农村地区推广电线
- 网络领军机构共发力 打造中国互
- 欧洲科研网络GEANT向世界拓展
- 盛大领军中国蓬勃发展的在线游
- 靠博客点击量卖画 画家一年赚几
- 李开复:中国学生没个性、缺乏
- 李开复:一天一夜做出春运交通
- 病毒作者创新使用打包技术导致
版权所有:山东.临沂 2007-2009 未经授权禁止复制或建立镜像,违法必究!
copyright © 2007-2009 www.pc539.com online services. all rights reserved. 鲁ICP备 06009634
Template designed by 山东.临沂 Optimized for 1024x768 to Firefox, MS-IE6 IE7.
copyright © 2007-2009 www.pc539.com online services. all rights reserved. 鲁ICP备 06009634
Template designed by 山东.临沂 Optimized for 1024x768 to Firefox, MS-IE6 IE7.