当我们使用windows附带的注册表,组策略等一些常用配置工具对系统进行了适当的配置,能给我们更安全,便捷的使用体验。但是XP Home版本并不带有强大的gpedit.msc。今天在kaka看到家庭版XP也拥有“组策略”。在本机顺利安装后将安装方法分享出来。
其安装方法很简单,部分操作我已写成批处理文件执行,首先解压附件后运行set.bat文件。
之后运行附件中的admFiles_WindowsXPSP2.msi。将安装目录选择c:\windows\inf\(默认c盘为系统根目录)。
点“开始”、“运行”。键入:“mmc”回车。
点“文件”、“添加/删除管理单元”、“添加”。
选择 “组策略对象编辑器”、“添加”、“完成”、“关闭”。
最后点击“文件”将其保存到c:\windows\system32\下,文件名为gpedit.msc。
这样在运行处输入gpedit.msc便能启动组策略了。
这里下载所需附件:
MD中了木马群,部分症状:无法复制粘贴文件,映象劫持,QQ目录内果然有了 psapi.dll文件… 病毒太多.只记住了进程里有两个数字进程和一个ailin.exe进程,且貌似多出一个svchost.exe进程,不过尚无法判断svchost.exe是否被病毒文件替换了.百度了一下解释说病毒在系统的system32目录和其他目录下释放dll文件和其他程序.本想运行360检查一下当前进程,居然无法运行- -!.360是不行了(似乎瑞星也无法运行),由于木马运行基本都是要连接网络的于是CMD中输入netstat -a命令,先看看占用端口情况,运行fport.exe并没有发现当前网络的可疑程序,不管那么多断网再说!不报希望的启动江民竟然可以运行,逃过此劫了.(电脑里本来装了江民可有时江民对cpu占用颇高便退出了程序,刚裸就中了)打开了监控就提示发现几个木马程序,但远没有检测到更多病毒文件.启动sreng慢慢来吧,凭经验删掉了注册表中的可疑项(误删了几个安全项 ),和几个映象劫持.将catch和临时文件清除重起.启动后发现不大对头!回想刚才删除注册表可疑项时,误删了经sreng系统关键文件验证(verified)的安全项.造成系统低层调用的某些程序无法启动.开始也没有记住删除的键值和注册表路径,更没有备份注册表的习惯!时间不早了,睡觉先 近一小时的木马清理战暂告一段落吧.
Second day
参照和我相同OS傻小孟的注册表,编辑了部分相关设置.重起后总算抒了口气,基本是正常启动了.现在要解决的问题是恢复粘贴复制功能,替换被病毒文件替换的系统文件(包括dllcache文件中备份的系统文件).
引出无法复制粘贴的原因是rpcss服务调用了\WINDOWS\system32\下的rpcss.dll被替换的文件,按search到的操作方法只要还原了病毒文件,在修改注册表项就解决问题.如何去将那从朋友机器中拷贝的正常文件复制过去呢?对.DOS命令可以用啊,于是乎敲入命令”copy x:rpcss.dll windows\system32\“,同样操作替换了dllcache中相同文件.由于同目录和dllcache目录下的userinit.exe文件也被病毒文件替换了,结束了系统中的userinit.exe进程,同样将文件换成了正常文件.要说明的userinit.exe只是在开机时被运行,OS启动完成后便会结束,如果在任务管理器发现它是常驻进程就有可能是可疑文件。
重起复制粘贴功能恢复了正常.
用XDELBOX工具删除了马群释放的那些病毒文件,不过自己还是不太放心病毒清除是不是彻底,根据当前流行木马的线程插入技术,随服务启动的特点,又检查了当前系统启动的服务项和容易被dll病毒依赖的进程模块信息,不过对于这种线程插入病毒还是很难去分辨的 .
要解决任务管理器中无法删除的进程,我们只能强制将他删除,Ntsd是一个在WIN2000/XP系统自带的用户调试工具,它能杀掉大部分的进程,除了如System,SMSS.EXE纯内核态和ntsd本身需要调用的进程外.他的结束方法是因为被调试器附着的进程会随调试器一起退出.所以当我们在命令行下使用Ntsd调出某进程,而且Ntsd会自动获取Debug权限,然后退出ntsd就可以终止那个进程.
具体的操作方法:在”程序/附件/命令提示符”或者直接在运行输入”CMD”中执行指令.
输入命令为:”ntsd -c q -p xxxx”
无引号 “xxxx”代表要结束进程的PID,PID可在任务管理器中查到(如果没有PID可在任务管理器–查看–选择列 中将PID(进程标识符)选中).
参数 -c q 表示执行 退出Ntsd的调试命令,-p是表示后面跟随的是进程的PID.
同时我们也可以使用进程的名字来结束进程:
“ntsd -c q -pn ***.exe”
-pn代表的是进程的名字,只需将”***.exe”换做相应的进程名.
同样也有好多人介绍了taskkill 命令 “taskkill /F /IM <文件名>“,他只能在WinXP/2003中使用,而无法被用在WIN2000中.而且貌似在WinXP home版中不存在 taskkill命令,不过还是可以在网上下载到,将其放入系统盘的WINDOWS\system32目录中就可.taskkill结束进程的能力要底于ntsd的.
taskkill结束双进程木马还是很有效果的,
双进程木马互为监视,互相复活。使我们无法彻底的查杀掉木马进程.查杀的关键是找到这“互相依靠”的两个木马文件。
具体的操作方法:
在命令提示符窗口中执行“taskkill /f /im xxxx.exe ”命令,刷新计算机之后在执行其命令,会提示”已终止PID 1234 从属于PID 123的进程”PID 123的进程就是PID 1234的父进程了.
/im 表示后面是进程名,/f表示强制终止的进程.
SREng 一款很好很强大的系统维护+分析+修复工具.
如在 系统修复”中的“高级修复”选项 中修复无法进入安全模式.而且在”推荐修复级别”下,能够修复所有
已知 Windows 注册表相关错误.在”高强修复级别”,能够删除系统中所有的策略项.同时SREng还针对
如键盘记录类似病毒,提供检测修复”API HOOK”的功能.还有隐藏进程的检测.
上次还用它搞定了一映像劫持,(不知道那次被哪个小黑撞了,输入法都给我劫走了)
6月30号发布的 2.6.11.992版本
PChome的下载地址:
官网
Copyright © 2007-2009 Aiyooo, All rights reserved, Powered WordPress, 冀ICP备08004633号
