菜鸟除马记
作为一名菜鸟,我对电脑的安全问题一向不太重视,即使在查看防火墙日志时也不过感叹一声了事,至于为什么每天都有那么多男男女女、老老少少拼命要挤进我的机器里却从未深究。直到有一天,我的同事在她的电脑上接到一条莫名其妙的Message。上面写道:“Hello啊,goodluck到此一游,能不能交个朋友?”同事一看花容失色,病急乱投医,委我以除“马”重任,于是乎上演了一出“菜鸟除‘马’记”。
因为不知道中的到底是什么木马,我首先打开任务管理器进行了一番侦察,果然在这里看到一个名为Diagcfg的陌生进程,一查原来这个Diagcfg有个官名叫“广外女生”。按照网上所教的清除方法首先在任务管理器中关闭了它的进程,再启动到纯DOS模式下,删除了System目录下的Diagfg.exe。随后找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。回到Windows模式下,运行Windows目录下的Regedit.com程序找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其值改为“"%1" %*”就万事大吉了。可我却怎么也打不开这个更名后的注册表,系统不厌其烦地提示“找不到用来打开.com文件的Diagcfg程序”,找不到,就是找不到。
我愁啊愁,忽然想到打不开扩展名为COM和EXE的文件是不是可以通过修改文件扩展名关联的文件类型来恢复呢?于是重启Windows 2000,按[F8],选择带命令行的提示的安全模式,这次可以使用命令提示符了。在提示符c:\下输入help,看到下面两条命令:
ASSOC Displays or modifies file extension associations
显示或修改文件名扩展关联
FTYPE Displays or modifies file types used in file extension associations
显示或者修改在文件名扩展关联中使用的文件类型
接着在c:\下输入命令ftype |more,找到这样两条语句:
comfile=c:\winnt\system32\diacfg.exe(大概是这样,有点记不清了)
exefile=c:\winnt\system32\diacfg.exe
果然comfile和exefile成了diacfg的傀儡,而实际上正确的语句应该是:
comfile="%1" %*
exefile="%1" %*
终于找到问题的根本了,现在只要将comfile和exefile的路径改回来,就离成功不远了吧?好吧,来看看ASSOC和FTYPE的正确用法。
C:\>help assoc
显示或修改文件扩展名关联
ASSOC .ext=fileType
.ext 指定跟文件类型关联的文件扩展名
fileType 指定跟文件扩展名关联的文件类型
键入 ASSOC 而不带参数,显示当前文件关联。如果只用文件扩展名调用 ASSOC,则显示那个文件扩展名的当前文件关联。如果不为文件类型指定任何参数,命令会删除文件扩展名的关联。
然后再看看ftype:
C:\>help ftype
显示或修改用在文件扩展名关联中的文件类型
FTYPE fileType=openCommandString
fileType 指定要检查或改变的文件类型
openCommandString 指定调用这类文件时要使用的开放式
键入 FTYPE 而不带参数显示当前有定义的开放式命令字文件类型。 FTYPE 仅用一个文件类型启用时,它显示那个型目前的开放式命令字符串。如果不为开放式命令字符串指FTYPE 命令将删除那个文件类型的开放式命令字符串。在一开放式命令字符串之内,命令字符串 %0 或 %1 被通过关联的文件名所代替。%* 得到所有的参数,%2 得到第一个参数%3 得到第二个,等等。 %~n 得到其余所有以 nth 参数打头参数;n 可以是从 2 到 9 的数字。例如:
ASSOC .pl=PerlScript
FTYPE PerlScript=perl.exe %1 %*
看明白这两个命令的用法后,就该动手操作了。
C:\>assoc .exe=exefile
系统提示:exe=exefile
C:\>ftype exefile=″%1″ %
系统提示:exefile=″%1″ %]
再ftype一下,comfile和exefile已经修改成功。重启系统,试着点击Regedit.com,呵呵,注册表大人终于跳了出来,EXE文件也死而复生了,删除掉注册表中Diagcfg的相关项,菜鸟激动地向MM宣布:“木马被本帅驱逐出境了”。
然而我高兴得太早了,还没等我合上嘴巴,另一种木马灰鸽子又堂而皇之地窜了进来, 并且明目张胆地盘踞在启动栏上,做翘首盼望状。
菜鸟痛哭着进入注册表,依次打开HKEY_LOCAL_MACHINE、SOFTWARE、WINDOWS CURRENTVERSION,只见Run和Runservices均有HGZ的魔影,路径是c:\winnt\system32\HGServer.exe。
根据经验,菜鸟依葫芦画瓢首先到任务管理器中关闭了灰鸽子的进程,然后进入DOS状态下。执行del hgserver.exe,哪知系统一点儿情面不给,提示“找不到c:\winnt\system32\hgserver.exe”,用dir hgserver.exe查看,同样提示“找不到文件”。看来修改了文件的属性,只好一不做,二不休,干脆来个attrib -r -a -s -h hgserver.exe ,这回再del hgserver.exe,总算提示删除成功了。随后赶紧修改注册表,关闭了一些不必要的服务和端口,又急急忙忙装了个防火墙,这才松了一口气。
值得庆幸的是,幸亏这次遇到的黑客好像也是菜鸟级的,不然以我菜鸟级的功力怎么能抵挡得住?今后再也不能掉以轻心了。
因为不知道中的到底是什么木马,我首先打开任务管理器进行了一番侦察,果然在这里看到一个名为Diagcfg的陌生进程,一查原来这个Diagcfg有个官名叫“广外女生”。按照网上所教的清除方法首先在任务管理器中关闭了它的进程,再启动到纯DOS模式下,删除了System目录下的Diagfg.exe。随后找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。回到Windows模式下,运行Windows目录下的Regedit.com程序找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其值改为“"%1" %*”就万事大吉了。可我却怎么也打不开这个更名后的注册表,系统不厌其烦地提示“找不到用来打开.com文件的Diagcfg程序”,找不到,就是找不到。
我愁啊愁,忽然想到打不开扩展名为COM和EXE的文件是不是可以通过修改文件扩展名关联的文件类型来恢复呢?于是重启Windows 2000,按[F8],选择带命令行的提示的安全模式,这次可以使用命令提示符了。在提示符c:\下输入help,看到下面两条命令:
ASSOC Displays or modifies file extension associations
显示或修改文件名扩展关联
FTYPE Displays or modifies file types used in file extension associations
显示或者修改在文件名扩展关联中使用的文件类型
接着在c:\下输入命令ftype |more,找到这样两条语句:
comfile=c:\winnt\system32\diacfg.exe(大概是这样,有点记不清了)
exefile=c:\winnt\system32\diacfg.exe
果然comfile和exefile成了diacfg的傀儡,而实际上正确的语句应该是:
comfile="%1" %*
exefile="%1" %*
终于找到问题的根本了,现在只要将comfile和exefile的路径改回来,就离成功不远了吧?好吧,来看看ASSOC和FTYPE的正确用法。
C:\>help assoc
显示或修改文件扩展名关联
ASSOC .ext=fileType
.ext 指定跟文件类型关联的文件扩展名
fileType 指定跟文件扩展名关联的文件类型
键入 ASSOC 而不带参数,显示当前文件关联。如果只用文件扩展名调用 ASSOC,则显示那个文件扩展名的当前文件关联。如果不为文件类型指定任何参数,命令会删除文件扩展名的关联。
然后再看看ftype:
C:\>help ftype
显示或修改用在文件扩展名关联中的文件类型
FTYPE fileType=openCommandString
fileType 指定要检查或改变的文件类型
openCommandString 指定调用这类文件时要使用的开放式
键入 FTYPE 而不带参数显示当前有定义的开放式命令字文件类型。 FTYPE 仅用一个文件类型启用时,它显示那个型目前的开放式命令字符串。如果不为开放式命令字符串指FTYPE 命令将删除那个文件类型的开放式命令字符串。在一开放式命令字符串之内,命令字符串 %0 或 %1 被通过关联的文件名所代替。%* 得到所有的参数,%2 得到第一个参数%3 得到第二个,等等。 %~n 得到其余所有以 nth 参数打头参数;n 可以是从 2 到 9 的数字。例如:
ASSOC .pl=PerlScript
FTYPE PerlScript=perl.exe %1 %*
看明白这两个命令的用法后,就该动手操作了。
C:\>assoc .exe=exefile
系统提示:exe=exefile
C:\>ftype exefile=″%1″ %
系统提示:exefile=″%1″ %]
再ftype一下,comfile和exefile已经修改成功。重启系统,试着点击Regedit.com,呵呵,注册表大人终于跳了出来,EXE文件也死而复生了,删除掉注册表中Diagcfg的相关项,菜鸟激动地向MM宣布:“木马被本帅驱逐出境了”。
然而我高兴得太早了,还没等我合上嘴巴,另一种木马灰鸽子又堂而皇之地窜了进来, 并且明目张胆地盘踞在启动栏上,做翘首盼望状。
菜鸟痛哭着进入注册表,依次打开HKEY_LOCAL_MACHINE、SOFTWARE、WINDOWS CURRENTVERSION,只见Run和Runservices均有HGZ的魔影,路径是c:\winnt\system32\HGServer.exe。
根据经验,菜鸟依葫芦画瓢首先到任务管理器中关闭了灰鸽子的进程,然后进入DOS状态下。执行del hgserver.exe,哪知系统一点儿情面不给,提示“找不到c:\winnt\system32\hgserver.exe”,用dir hgserver.exe查看,同样提示“找不到文件”。看来修改了文件的属性,只好一不做,二不休,干脆来个attrib -r -a -s -h hgserver.exe ,这回再del hgserver.exe,总算提示删除成功了。随后赶紧修改注册表,关闭了一些不必要的服务和端口,又急急忙忙装了个防火墙,这才松了一口气。
值得庆幸的是,幸亏这次遇到的黑客好像也是菜鸟级的,不然以我菜鸟级的功力怎么能抵挡得住?今后再也不能掉以轻心了。
 |
我来说两句
相关内容
长株潭热点
- 长沙
- 株洲
- 湘潭
- 湖南
- 国内外
资讯
- 要闻
- 社会
- 娱乐
- 视点
- 体育
最新评论
作者:小高 (2009/6/14 17:31, 评分: 1楼 )
共有1评论 首页 上一页 1 下一页 尾页