本次教程讲述的是自动运行、映像劫持、自动播放的内容,哪里是病毒最喜欢的藏身之处呢?
自动播放的知识
三.自动播放
提到自动播放,不得不说的一个文件就是autorun.inf,通常它具有隐藏属性,同时它也是一个配制文件.
autorun.inf是windows下操纵光盘等行为的一个文件,需要放在根目录下,部分操作对于硬盘,U盘也适用.
比如插入杀毒软件的安装光盘,系统将自动运行它的安装程序,这给我们带来了不少方便,但也给病毒的传播带来了方便.
所谓的U盘病毒就是利用这个文件来传播的病毒,如果你开启了自动播放功能,则当你双击U盘的时候,病毒就运行了.对于硬盘也是一样的.有时病毒清理完毕后,双击硬盘却打不开了,原因是病毒不存在了,而autorun.inf这个文件仍然存在...
这个文件的一般内容如下:
复制内容到剪贴板
代码:
[autorun]
open=progict1.exe
shell\open=打开(&O)
shell\open\Command=progict1.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=progict1.exe
open=progict1.exe
如果存在progict1.exe这个文件,当你双击盘符时,就会自动运行这个文件,等号后面可以是完整的文件路径
shell\open=打开(&O)
shell\open\Command=progict1.exe
第一行,将使右键出现一个打开命令,第二行当你选择打开时,实际执行的是progict1.exe这个文件
shell\explore=资源管理器(&X)
shell\explore\Command=progict1.exe
情况类似于上面的,因此用右键打开磁盘也并不一定是安全的.
中毒后正确的做法有:
1,在我的电脑地址栏中输入路径,如C:\
2,单击文件夹图标,从左边树型目录打开.
3,从开始菜单启动资源管理器,从左边树型目录打开
4,利用第三方工具,如winRAR,还是用地址栏.
一般情况,中毒后,先按上述方法找到autorun.inf,用记事本打开它,查看其指向的文件是什么,删除autorun.inf和它所指向的文件,一般来说,其指向的文件和autorun.inf一样也在磁盘根目录,但有时并不一定,也可能在系统目录等.
一般建议关闭自动播放功能:
开始,运行,输入gpedit.msc,打开组策略
计算机配制,管理模板,系统
在右边找到期"关闭自动播放",双击它,改为已启用,并选择所有驱动器,确定.
新增动作:
1,复制自身到系统目录
2,开机自动运行
3,映像劫持某些程序
修正:只允许一个实例运行
解决方法
1,结束进程,其他参照第2课和第4课的内容.
2,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下名为"演示程序"的键.
3,删除如下映像劫持项目(不带单引号): '360Safe.exe','360tray.exe','avp.exe','CCenter.exe','qq.exe','regedit.exe','msconfig.exe','notepad.exe','cmd.exe','nod32.exe'
4,删除文件:%systemroot%/system32/anti3.exe
注1:真正的病毒可能会添加到多处可自启动的地方,劫持绝大部分安全软件和系统工具等.
注2:由于劫持了注册表,运行演示程序后注册表将打不开,请按上面说的办法解决.(到%systemroot%目录下找到regedit.exe,将其重命名后即可运行)
注3:可能对某些人有用:
360rpt.exe,360Safe.exe,360tray.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,AST.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,HijackThis.exe,FTCleanerShell.exe,IceSword.exe,iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KISLnchr.exe,KAVStart.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,krepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP_1.kxp,KvXP.kxp,KWatch9x.exe,KWatch.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,SysSafe.exe,TrojanDetector.exe,symlcsvc.exe,SREng.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,runiep.exe,Rsaupd.exe,RsAgent.exe,rfwsrv.exe,RfwMain.exe,rfwcfg.exe,RegClean.exe,rfwProxy.exe,RavTask.exe,RavStub.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.EXE.exe,WoptiClean.exe,zxsweep.exe,regedit.exe,msconfig.exe,mmc.exe,taskmgr.exe
(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)
网友评论