相遇【磁碟机】

 

    前一周我的本本XP系统中了一次磁碟机变种病毒（Virus.Win32.Xorer.du），又多了一次计算机中毒体验。这里想记录下灭毒的历程和一些心得体会。

    其实我这次中毒的起因比较简单。我在同学提醒下下载了绿坝，然后想测试一下绿坝功能到底如何。于是我用IE浏览了几个黄色网站。令我失望的是绿坝效果显然没有那么好。之后我没在意，那时其实已经中了木马下载器和磁碟机变种。接下来的一两天里磁碟机感染了每个分区里面htm文件及一些相关联exe文件。之后经过我的仔细观察发现我的qq已经被劫持了，桌面的图标变得有些模糊。。。qq登陆不上去，IP地址冲突，COMODO防火墙和超级巡警都被迫‘下线’的：种种迹象表明系统不正常了，应该是中毒啦。

    于是我立刻装上卡巴斯基（之前考虑到本本配置低没装杀软）。装好卡巴就更新，更新了好几次，也‘百度’了解决方法，就是还不能连接上服务器进行更新。于是一头雾水，先查毒吧。查出了N多被磁碟机感染的文件，于是统统清除。之后然后我试着装了瑞星，更新时也无法正常连接服务器。查看系统进程时发现病毒进程一直在的，终于发现更新不了的原因所在了。还有，因为进程里有病毒的进程，所以80端口之外其余端口被HOOK劫持，qq和校内通等软件都无法正常使用。。。玩到这里，限于我本本超慢的速度，实在懒得依依删除文件，修复注册表键值了，索性还原。。。还原后的卡巴可以正常更新，更新过后就查杀DEF盘，灭掉残余感染文件，又去360官网里下载了磁碟机专杀，扫描了一番，算是把病毒彻底清理掉嘞。。。

    几点体会：

1。中毒后要尽快断网查毒查木马，查进程，查病毒是否更改常见文件关联，是否破坏常用安全软件：尽快找到根源的所在和病毒目前对系统已造成的影响和破坏。对企业而言，如果有敏感和机密信息，则应尽快追查信息是否泄漏。。。

2。查明原因后要立即找到解决方法，制定恢复方案~并正确评估是否需要恢复注册表或者硬盘分区的备份。

3。学会常用辅助软件的配合使用，比如冰刃，狙剑，木马克星等等。充分利用好他们能帮助你尽快恢复正常的系统使用。

 

----------------------------------------华丽的分割线------------------------------------------------------------

Virus.Win32.Xorer.du病毒描述：

病毒运行后，复制自身到各驱动器根目录下（除系统盘根目录）并衍生配置文件，实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件；修改注册表，添加启动项，对大量反病毒工具和软件映像劫持，锁定对隐藏文件的显示，使用户无法通过文件夹选项显示隐藏文件；禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务；删除注册表中安全模式启动需要加载的驱动文件，使用户无法进入安全模式；开启自动播放功能，感染连接到中毒机器的移动磁盘；该病毒会自动关闭标题栏中含有指定字符的窗口或文件；该病毒主要通过移动磁盘进行传播。

本地行为：1、文件运行后会释放以下文件：%DriveLetter%/autorun.inf%DriveLetter%/.exe%ProgramFiles%/.inf%ProgramFiles%/meex.exe%ProgramFiles%/Common Files/System/.exe%ProgramFiles%/Common Files/Microsoft Shared/.exe 2、新建注册表：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]注册表值: "@"类型： REG_SZ值： "C:/Program Files/Common Files/System/.exe"描述: 启动项，使病毒文件在当该系统的所有用户登陆该系统时，运行病毒文件。 3、新增注册表，添加映像劫持项：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/被映像劫持的文件名称注册表值: "Debugger"类型： REG_SZ值："C:/Program Files/Common Files/Microsoft Shared/.exe"描述: 映像劫持项，当系统执行被映像劫持的文件名称时，将不执行该文件，而是执行映像文件。被映像劫持的文件名称列表如下：4、修改注册表，锁定隐藏文件的显示，禁用服务，开启自动播放：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]新建键值：DWORD：" CheckedValue"="0"原键值：DWORD：" CheckedValue"="1"CheckedValue描述:锁定隐藏文件的显示[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer]新建键值：DWORD："NoDriveTypeAutoRun"="145"原键值：DWORD：" NoDriveTypeAutoRun"="0"描述：开启自动播放功能。[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/helpsvc]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统帮助服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用入侵保护服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wscsvc]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统防火墙服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wuauserv]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统自动更新服务，修改启动方式“自动”为“禁用”5、删除注册表，无法进入安全模式：[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}]注册表值: "@"类型： REG_SZ字符串："DiskDrive"描述：删除注册表中进入安全模式需要加载驱动文件的相关信息，使用户无法进入安全模式。[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}]注册表值: "@"类型： REG_SZ字符串："DiskDrive"描述：删除注册表中进入安全模式需要加载驱动文件的相关信息，使用户无法进入安全模式。清除方案：1 、使用安天木马防线可彻底清除此病毒(推荐)， 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。(1)关闭病毒进程：%ProgramFiles%/Common Files/System/.exe%ProgramFiles%/Common Files/Microsoft Shared/.exe(2)删除病毒文件：%DriveLetter%/autorun.inf%DriveLetter%/.exe%ProgramFiles%/.inf%ProgramFiles%/meex.exe%ProgramFiles%/Common Files/System/.exe%ProgramFiles%/Common Files/Microsoft Shared/.exe(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：恢复下列各项[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]新建键值：DWORD：" CheckedValue"="0"原键值：DWORD：" CheckedValue"="1"CheckedValue描述:锁定隐藏文件的显示[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer]新建键值：DWORD："NoDriveTypeAutoRun"="145"原键值：DWORD：" NoDriveTypeAutoRun"="0"描述：开启自动播放功能。[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/helpsvc]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统帮助服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用入侵保护服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wscsvc]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统防火墙服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wuauserv]新建键值：DWORD："Start"="4"原键值：DWORD："Start"="2"描述：禁用系统自动更新服务，修改启动方式“自动”为“禁用”[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}]注册表值: "@"类型： REG_SZ字符串："DiskDrive"描述：删除注册表中进入安全模式需要加载驱动文件的相关信息，使用户无法进入安全模式。[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}]注册表值: "@"类型： REG_SZ字符串："DiskDrive"描述：删除注册表中进入安全模式需要加载驱动文件的相关信息，使用户无法进入安全模式。删除下列各项[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]注册表值: "@"类型： REG_SZ值： "C:/Program Files/Common Files/System/.exe"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/被映像劫持的文件名称注册表值: "Debugger"类型： REG_SZ值："C:/Program Files/Common Files/Microsoft Shared/.exe"描述: 映像劫持项，当系统执行被映像劫持的文件名称时，将不执行该文件，而是执行映像文件。