dos清除windows密码命令_哪些文件会被dos病毒感染

2022-11-09 17:22:14 浏览数 (1)

今天,朋友叫我帮看看他的电脑,说是中了个比较NB的病毒,我颇感兴趣!因为好久没有遇到有挑战性的病毒了!今天又可以练练手了^_^

打开他的电脑,并没有发现什么特别具有破坏力的现象。exe、com、src等等文件都没有被感染,GHOST备份文件也还在。

仔细查看系统,归纳起来,中毒后主要呈现如下症状:

1.杀毒软件被中止和禁止重新启用,系统垃圾清除类软件被禁止启用。

中毒后注销重新进入系统或者重启进入系统,系统的日期被更改。如果系统上装的杀毒软件是KAV,则会出现KAV提示日期出错,软件没有激活。图1是在我系统上测试时的效果:

图 1

中毒后,测试系统中的杀毒软件KAV被终止掉,如果尝试重新启用KAV始出现如下(图2)的提示:

图2

如果是刚被感染,表现是KAV提示连接服务器进程被终止。

系统垃圾清理类软件:

超级兔子软件和360安全卫士也无法使用,尝试打开也会出现上述类似情况,如(图3、图4):

图3

图4

不过,windows优化大师可以正常使用。

2. 进程列表中多出两个进程:iywdqdf.exe和dmecvcm.exe

3. 派生文件:在系统目录 windows/system32 下生成两个文件iywdqdf.exe和dmecvcm.exe

4. 系统的文件夹选项中文件的“显示/隐藏”项常置于隐藏属性,不可更改:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced/Folder/Hidden/SHOWALL] “CheckedValue”=dword:00000000

5. 除系统所在盘外,所有盘符的根目录下生成autorun.inf文件和kocmbcd.exe文件。

6.添加注册表使自己自启动:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

iywdqdf.exe -> C:/WINDOWS/system32/iywdqdf.exe

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

dmecvcm.exe -> C:/WINDOWS/system32/dmecvcm.exe

上述现象描述并不完整,可能还有另外的症状。

在我的测试中,没有发现更多的异常情况,CPU占用率和网络通信流量都还正常。首先尝试直接用任务管理器结束两个进程中的任何一个,过几秒钟又自动起动起来了,看来是双进程守护的。哈哈,想想也没这么容易就搞定的。不过,这也是老技术了,想不通病毒编写者也不隐藏一下进程或者做欺骗性的命名处理。那好说了,请老工具出场——Windows杀毒助手。

打开Windows杀毒助手,看其中有这两个进程:(图5)

图5

显然这两个进程分别调用c:/windows/system32/dmecvcm.exe 和c:/windows/system32/iywdqdf.exe 两个.exe文件。至于其调用的动态链接库文件我们就暂不用管它了,把病源干掉再说。为保险起见,我们再查看一下进程的关联端口,发现没有任何关联的端口。两个进程的内存占用率都在5.5 MB左右。好了,既然也没有自动联网,我真搞不懂这个病毒的目的何在了!不罗唆了,干掉要紧。在Windows杀毒助手的进程列表中选中上述两个进程,点击右键,使用“强制关闭进程[多个]”。OK,就这么简单,上述两个进程就真正结束掉了。

在做后续工作前,我必须强调一下:你千万不要直接双击盘符进入,也不要鼠标右击盘符选择“打开”进入。至于原因,都是因为存在的 autorun.inf文件的缘故。其实我们查看一下Autorun.inf文件就很容易理解其中的原因了:

[AutoRun]

open=kocmbcd.exe

shell/open=打开(&O)

shell/open/Command=kocmbcd.exe

shell/open/Default=1

shell/explore=资源管理器(&X)

shell/explore/Command=kocmbcd.exe

它将上述两种操作都重定向到运行kocmbcd.exe 文件了。那么怎么进入盘符目录才不会运行病毒体呢?最简单方法是在地址栏输入盘符进入,如C: 回车 进入。

OK,下面让我们来删除系统目录下的两个.exe文件。隐藏文件不可见怎么办?这里给出两个办法:

1. 编写注册表脚本导入。打开记事本,输入以下内容:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden]

“Text”=”@shell32.dll,-30499”

“Type”=”group”

“Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00, 6f ,00, 6f ,00,74,/

00,25,00, 5c ,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c ,00,53,00,/

48,00,45,00, 4c ,00, 4c ,00,33,00,32,00,2e,00,64,00, 6c ,00, 6c ,00, 2c ,00,34,00,00,/

00

“HelpID”=”shell.hlp#51131”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30501”

“Type”=”radio”

“CheckedValue”=dword:00000002

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51104”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30500”

“Type”=”radio”

“CheckedValue”=dword:00000001

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51105”

保存上述文件为 UnHidden.reg (文件名任意,后缀为.reg即可)。双击导入注册表。然后修改 工具->文件夹选项->查看->查看所有文件和文件夹 ,并且去掉“隐藏受保护的系统文件(推荐)”前的勾。现在,可以进入系统目录c:/windows/system32/ 下,直接删除iywdqdf.exe和dmecvcm.exe 文件了。

2. 在命令行模式下删除文件。你可以直接用

del /A attrib iywdqdf.exe -h -s –r

del /A attrib dmecvcm.exe -h -s –r

命令删除,也可以在用attrib 命令更改文件属性后在图形界面下将其删除。

结束了病毒进程,删除了直接的“病毒体”,用同样的方法,接着我们来处理病毒源。根据经验,显然 kocmbcd.exe 文件应该就是真正的病毒体。从去年(06年)六月以来流行的多种病毒,如rose、RavMon、fun.xls以及熊猫烧香等一系列病毒都是利用autorun.inf来进行病毒感染与传播。不过,这个kocmbcd.exe的病毒作者有一点点改进,那就是由于他改进了autorun.inf的缘故,即使用户使用右击打开盘符的方式仍然会中毒。kocmbcd.exe文件信息如图6所示:

图6

该文件的大小固定为37.8KB,修改日期为1987年5月28日,属性为隐藏,系统。

我们来试试能不能直接删掉——哈,居然直接就可以删除!(再次提醒你,一定要以正确的方式进入盘符目录或者再命令行下操作,因为这是成功清除病毒的前提。)

好了,病毒体都删掉了。在windows配置实用程序(运行中输入msconfig进入)中去掉iywdqdf.exe 和 dmecvcm.exe 项前的勾:(图7)

图7

剩下的就是如何使KAV等病毒软件与超级兔子等垃圾清理软件正常工作,以及注册表垃圾清理的事情了。

重新启动电脑后,试图打开KAV,出现现象1的情况。尝试了修复安装和完全卸载重新安装两种方式,仍然出现现象1的情况。看来是注册表的问题了,由于时间关系我没有对注册表进行对比分析,在这里只是把解决的方法拿出来。

既然我们猜到是注册表的问题了,我先从超级兔子入手。兔子正常工作了,我就注册表清理的工作就交给它了。

方法很简单——找到超级兔子的安装目录,更改运行主文件:(图8)

图8

现在双击 MagicSet2.exe试试,是不是兔子又正常运行起来了?^_^

使用兔子的注册表清理功能,选中“扫描错误的类”,然后清理。完毕后将兔子名字改回去,是不是也能正常运行了?再试试KAV和360安全卫士,是不是都正常工作了?

OK,到这里病毒处理工作也就差不多完成了。我的邮箱是computer.wei@gmail.com .还有就是本文只是对该病毒的一个表层现象与处理的描述,没有深入到具体的编程实现细节,只是想起到一个抛砖引玉的作用,希望有更多病毒研究方面的爱好者对它的机理作进一步的剖析。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/186313.html原文链接:https://javaforall.cn

0 人点赞