圖書室的電腦又中毒了
這次是 TROJ_MARAN. 病毒檔案是 od8mid.dll
因為病毒利用 植入 winsock provider 的技術 在安全模式下也無法刪除
利用 木馬病毒 參考資料提到的 autoruns
找到od8mid.dll 將機碼刪除後
麻煩了 系統載入變慢了 IE 也連不出去了,>_<
懷疑是 Winsock provider 的 (TCP/IP)載入過程的問題
想到另一篇筆記的如何在 Windows XP 中重設網際網路通訊協定 (TCP/IP)
設定了
netsh int ip reset c:\resetlog.txt
看來可以解決這個問題
後記:還是有問題 IIS 不正常,連帶使得圖書查詢程式也無法使用
最後重裝 IIS 及圖書查詢程式的 wconect 元件,總算恢復正常
看來這個病毒還有些看不清的地方,希望沒有沒發現的木馬才好。
Monday, July 30, 2007
Monday, July 23, 2007
在WindowsXP上安裝NetBEUI
摘自 http://forum.slime.com.tw/archive/index.php/t-39951.html
在WindowsXP上安裝NetBEUI
概要
Microsoft 在 Windows XP 中不再對 NetBIOS 擴展用戶接頭 (NetBEUI) 網路協議提供支持。 然而,可以理解,遷移到另一個網路協議(如 TCP/IP)要在規劃和測試上花費大量時間。 因此,對於那些打算通過獲取完整的、零售版本的 Windows XP 將系統環境遷移到 Windows XP 的用戶來說,可在 Windows XP 光碟中的 VALUEADD 目錄下找到 NetBEUI 協議。
本文介紹了在執行 Windows XP 的電腦上手動安裝不受支持的 NetBEUI 協議的程序。 需要先從 Windows XP 光碟手動複製 NetBEUI 文件,然後 NetBEUI 才會顯示在可安裝的網路協議列表中。
在 Windows XP 上安裝 NetBEUI
在 Windows XP 上安裝 NetBEUI 協議所必需的文件是 Netnbf.inf 和 Nbf.sys。若要安裝 NetBEUI,請完成以下步驟:
1.將 Windows XP 光碟插到 CD-ROM 驅動器中,瀏覽到 類型add\MSFT\Net\NetBEUI 資料夾。
2.將 Nbf.sys 複製到 %SYSTEMROOT%\System32\Drivers 目錄中。
3.將 Netnbf.inf 複製到 %SYSTEMROOT%\Inf 隱藏目錄中。
4.按擊開始,按擊「控制台」,然後雙按「網路連接」。
5.右鍵按擊要為其增加 NetBEUI 的適配器,然後按擊屬性內容。
6.在一般選擇項上,按擊安裝。
7.按擊協議,然後按擊增加。
8.從列表中按擊選「NetBEUI Protocol」(NetBEUI 協議),然後按擊確定。
9.如果收到完成安裝的提示,請重新啟動
NetBEUI 協議現在應已安裝並正常工作。
在WindowsXP上安裝NetBEUI
概要
Microsoft 在 Windows XP 中不再對 NetBIOS 擴展用戶接頭 (NetBEUI) 網路協議提供支持。 然而,可以理解,遷移到另一個網路協議(如 TCP/IP)要在規劃和測試上花費大量時間。 因此,對於那些打算通過獲取完整的、零售版本的 Windows XP 將系統環境遷移到 Windows XP 的用戶來說,可在 Windows XP 光碟中的 VALUEADD 目錄下找到 NetBEUI 協議。
本文介紹了在執行 Windows XP 的電腦上手動安裝不受支持的 NetBEUI 協議的程序。 需要先從 Windows XP 光碟手動複製 NetBEUI 文件,然後 NetBEUI 才會顯示在可安裝的網路協議列表中。
在 Windows XP 上安裝 NetBEUI
在 Windows XP 上安裝 NetBEUI 協議所必需的文件是 Netnbf.inf 和 Nbf.sys。若要安裝 NetBEUI,請完成以下步驟:
1.將 Windows XP 光碟插到 CD-ROM 驅動器中,瀏覽到 類型add\MSFT\Net\NetBEUI 資料夾。
2.將 Nbf.sys 複製到 %SYSTEMROOT%\System32\Drivers 目錄中。
3.將 Netnbf.inf 複製到 %SYSTEMROOT%\Inf 隱藏目錄中。
4.按擊開始,按擊「控制台」,然後雙按「網路連接」。
5.右鍵按擊要為其增加 NetBEUI 的適配器,然後按擊屬性內容。
6.在一般選擇項上,按擊安裝。
7.按擊協議,然後按擊增加。
8.從列表中按擊選「NetBEUI Protocol」(NetBEUI 協議),然後按擊確定。
9.如果收到完成安裝的提示,請重新
NetBEUI 協議現在應已安裝並正常工作。
關閉SMB的445等連接埠
關閉SMB的445等連接阜.reg
Windows Registry Editor Version 5.00
# 重新啟動 才能生效
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
Windows Registry Editor Version 5.00
# 重新
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
Sunday, July 22, 2007
木馬病毒 參考資料
以下資料摘自http//www.cnitblog.com/linghuye/archive/2006/08/12/15175.html點選超連接時請注意安全
木马病毒处理备忘
我的机器从不装杀毒软件,杀毒软件对我其实没什么作用,影响系统速度,查一次硬盘耗时数小时,又杀不了新出的病毒,有时杀的系统不干不净,所以有问题都是google一下,然后自己动手清除,平时用Processor Explorer和Autoruns例行检查预防,备忘总结如下:
病毒分析:
Explorer Browser Helper Objects型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects标签下的项目.
编程技术:使用Windows Browser Helper Objects技术,为DLL形式,随Explorer和Internet Explorer启动而发作,表象是随开机进入桌面而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览文件功能找到并删除相关DLL文件,再使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:易趣,3721, System32\googlebar.dll(冒充)
Internet Explorer Toolbar型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Internet Explorer\Toolbar标签下的项目.
编程技术:使用Internet Explorer Toolbar Extension技术,为DLL形式,随Internet Explorer启动而发作,表象是打开IE浏览器而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览功能删除文件,使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:雅虎助手等
CurrentControlSet Services型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:Exe形式,注册为Service.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:微软自身的产品
病毒举例:
CurrentControlSet Drivers型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:sys形式,注册为系统驱动程序,随系统启动.
删除手法:确定是病毒文件后,用IceSword强行删除文件和注册表项.
一般项目:微软自身的产品
病毒举例:Adware.Roogoo, sysmgr的NWUPSPX.SYS,iebar的fsprot.sys和moprot.sys
Windows CurrentVersion Run型病毒
出现迹象:Autoruns报告出现在HKCU\Software\Microsoft\Windows\CurrentVersion\Run标签下的项目.
编程技术:Exe形式,注册为Run下自动启动.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:
Winsock Providers型病毒
出现迹象:Autoruns报告出现在Winsock Providers标签下的项目.
编程技术:Dll形式,技术上要比IE BHO插件木马之类的高,删除后会导致TCP/IP协议栈损毁,导致上网失败,无法查找杀毒资料.
删除手法:进入Windows安全模式,使用Autoruns删 除注册表项,如果出现删除失败提示,使用RegEdit设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\WinSock2\Parameters的权限->高级->所有者为Administrators,然后再删,然后再用软 件WinsockXPFix恢复Winsock协议栈后解决.
病毒举例:xboxcenter.dll,quartz32.dll
非一般启动手法:
1.使用Windows任务计划程序调度启动,位于Autoruns Task Scheduler栏下,例子:iebb.exe
禽兽之变诈几何哉,只增笑尔?
References:
http://360safe.com/
又是麻煩的病毒 執行 I E 就會跟著啟動
7/12-7/16 發作的病毒裡又辨識出了一個病毒及其行為
執行時會產生一個名為 be7b1.exe 的執行檔在 WINDOWS\SYSTEM32\ 中, 在安全模式下可殺掉,
但在執行 I E 時會自行產生.
使用BHO的病毒
下面的disable是加上去抑制病毒執行用的
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\disabel{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
在 I E 執行時會載入 上面機碼指向的程式
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
@="ff Class"
"AppID"="{CCF11A98-DC8C-40A9-ABAA-DF9C4D6DD923}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\InprocServer32]
@="C:\\WINNT\\system32\\0be1.dll" <-----------
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\ProgID]
@="dbho.ff.1"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\TypeLib]
@="{0FECB569-7E71-4ADB-AC44-F3C1C0E8EF2D}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\VersionIndependentProgID]
@="dbho.ff"
要切實刪除 C:\\WINNT\\system32\\0be1.dll 及be7b1.exe 方可杜絶這個病毒
(^_^ 這個病毒是在防毒軟體辨識出來前就自己找出來及辨識出其行為的哦!)
執行時會產生一個名為 be7b1.exe 的執行檔在 WINDOWS\SYSTEM32\ 中, 在安全模式下可殺掉,
但在執行 I E 時會自行產生.
使用BHO的病毒
下面的disable是加上去抑制病毒執行用的
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\disabel{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
在 I E 執行時會載入 上面機碼指向的程式
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
@="ff Class"
"AppID"="{CCF11A98-DC8C-40A9-ABAA-DF9C4D6DD923}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\InprocServer32]
@="C:\\WINNT\\system32\\0be1.dll" <-----------
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\ProgID]
@="dbho.ff.1"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\TypeLib]
@="{0FECB569-7E71-4ADB-AC44-F3C1C0E8EF2D}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\VersionIndependentProgID]
@="dbho.ff"
要切實刪除 C:\\WINNT\\system32\\0be1.dll 及be7b1.exe 方可杜絶這個病毒
(^_^ 這個病毒是在防毒軟體辨識出來前就自己找出來及辨識出其行為的哦!)
修改隱藏目錄顯示被鎖定的問題
最近遇到一個討厭的病毒, 把自己藏在隱藏目錄中, 並且不給改 檔案-顯示 的隱藏屬性
Google 後找到的解決方法:
先說明原因:
HKLM@Softwaer@Microsoft@Windows@CurrentVersion@explorer@Advanced@Folder@Hidden@。 在這裡有三個主鍵,分別是
NOHIDDEN
NOHIDORSYS
SHOWALL。
在SHOWALL下面有個二進制鍵值Checked類型,把它的鍵值 修改為「0」——這樣,再怎麼選項「顯示所有文件」,隱藏文件也不會顯示.
**"顯示所有文件" 的選項會消失也無法設定**
病毒把它改成 錯誤的TYPE二進位值 如下
"CheckedValue"=hex(4):30,30,30,30,30,30,30,30,00
厲害的是 看的到 ""顯示所有文件" 的選項
但不管怎麼設, 都沒法讓隱藏文件顯示出來, 唯一的破綻就是套用後再看還是設成"不顯示隱藏檔案"
正確的機碼應是 TYPE 為 DWORD
"CheckedValue"=dword:00000001
Google 後找到的解決方法:
先說明原因:
HKLM@Softwaer@Microsoft@Windows@CurrentVersion@explorer@Advanced@Folder@Hidden@。 在這裡有三個主鍵,分別是
NOHIDDEN
NOHIDORSYS
SHOWALL。
在SHOWALL下面有個二進制鍵值Checked類型,把它的鍵值 修改為「0」——這樣,再怎麼選項「顯示所有文件」,隱藏文件也不會顯示.
**"顯示所有文件" 的選項會消失也無法設定**
病毒把它改成 錯誤的TYPE二進位值 如下
"CheckedValue"=hex(4):30,30,30,30,30,30,30,30,00
厲害的是 看的到 ""顯示所有文件" 的選項
但不管怎麼設, 都沒法讓隱藏文件顯示出來, 唯一的破綻就是套用後再看還是設成"不顯示隱藏檔案"
正確的機碼應是 TYPE 為 DWORD
"CheckedValue"=dword:00000001
Subscribe to:
Posts (Atom)