论坛: 菜鸟乐园 标题: 帮帮忙 复制本贴地址    
作者: wpswpsli [wpswpsli]    论坛用户   登录
我刚才打开"我的电脑",然后再打开D盘,(可以打开).
但是当我打开E盘和F盘的时候却提示我:打开方式,选择您想打开此文件的方开,然后有一个方框里面有几种方式供你选择,,有什么IE,画图,记事本,写字本,等等一些.(这是在双击打开的时候才出现这种情况,但是用单击右键选择打开又一切正常.)请问要怎么处理

地主 发表时间: 06-10-03 20:43

回复: Later [yaochi]   论坛用户   登录
在你的E: F:根目录下有个autorun.ini
的配置文件.把它改名或者删了就行.
PS:有些病毒用这样的方式获得启动的机会,不是你自己设置的话,记得杀杀毒.

B1层 发表时间: 06-10-04 00:15

回复: wpswpsli [wpswpsli]   论坛用户   登录
我找不到您所说的那个文件啊,
不好意思,我是菜鸟,我在dos下 dir autorun.ini都没有这个文件

B2层 发表时间: 06-10-07 19:40

回复: coolguy [coolguy]   论坛用户   登录
    关于AutoRun.inf文件,病毒一般都会在里面写入这些语句:
[Autorun]
open=*.exe                      //* 开始运行 *.exe文件 *//
shellexecute=*.exe              //* execute译为执行 *//
shell\Auto\command=*.exe        //* 创建鼠标右键关联,添加Auto,并设为第一选择项 *//
shell=Auto                      //* 这行语句写不写都可以 *//
    由于AutoRun.inf文件修改了属性,使得双击本地盘的时候,直接运行所指定的程序(文件),当这个指定的程序被删掉以后,系统找不到这个程序,当然会弹出个对话框问你选择什么方式打开了。
    解释下shellexecute,大家对exe应该不陌生,但是exe的原写是什么呢? execute是一个动词,意思是执行,而execution是名词,也是执行,其实每一个拓展名都是一个缩写,说到这里,大家就明白了,exe就是execution的缩写。
    我曾经做过几次实验(我是拿移动盘做的实验,那天移动盘被感染,顺便做了下尝试,本地盘D盘,E盘,F盘也被感染过,可惜我已经清除掉了),把*.exe全部换成*.txt,并且写了个*.txt文件,双击运行磁盘,系统弹出个对话框说: H:\ 不是有效的 Win32 应用程序,就从这点我们不难知道,执行Win32 应用程序的是“shellexecute=”语句。
    以上是我个人分析,大家有不同的看法可以发表下。
    要想知道电脑里有没有AutoRun.inf文件,有三个方法:(1)运行cmd命令,输入 dir /a d: 如果查看E盘的话,就输入 dir /a e: 以次类推,注意要加 /a参数,否则是看不到隐藏文件或是隐藏文件夹的。 (2)工具→文件夹选项→查看→□隐藏受保护的操作系统文件(推荐),把方框里的勾去掉,还有就是把“○显示所有文件和文件夹”项勾选上,这样你就可以看到电脑里面的所有东西了。 (3)用attrib -s -r -h 命令把文件(夹)完全显示出来,举个例子,attrib -s -r -h d:\*.* 意思是把D盘目录下的所有文件显示出来,子目录下文件夹的隐藏文件没有变,如果输入 attrib -s -r -h d:\*.* /s  这里加个 /s参数,把D盘所有文件都显示出来,因为属性已经被修改了,如果想恢复文件的隐藏属性,就把-改为+, s就是save的缩写,r就是read的缩写,h就是hide的缩写,-就是去掉,+就是添加,有兴趣的朋友可以自己去试试,有一点我得提一下,如果你运行 attrib -s -r -h c:\*.* /s的话,你要想清楚了,因为C盘里的文件很多是系统本来的隐藏受保护属性,微软给这些文件设隐藏受保护,有他的原因,就是防止用户误删一些系统核心文件,如果你给他去掉保护,而且又不知道哪些文件原本是受保护的,有一天无意中误删,系统就出问题了。所以说DOS命令要谨用。    attrib -s -r -h c:\*.*只是对文件起作用,如果是修改文件夹属性,就得把*.*改为文件夹名,输入 attrib -s -r -h c:\new  意思是显示C盘目录下的new文件夹,设置new文件夹属性为一般隐藏就用 attrib +r +h c:\new  设置new文件夹属性为受保护隐藏(高级隐藏)就用 attrib +s +r +h c:\new  具体使用看具体情况。
    有些病毒文件用第三个方法是无法将其显示的,如:sxs.exe病毒,这个病毒具有自我复制功能,且具有重生的功能,要想看到它得用第二个方法,sxs.exe病毒可以结束反病毒软件的进程,而且还删除反病毒软件的核心文件,以次来保护自己,前段时间我遭到过它的袭击,下面是我的一次经历,今天把它搬出来与大家分享下。

    那天下午放学过后,我的同学在学校机房的电脑拷点上课时用的一些资料,里面也有我要的东西,于是我叫他帮我拷些回去(拷资料的u盘是同学借人家的),回到宿舍,他拷完后,我就把u盘插进我的电脑,双击打开u盘,瑞星注册表监控弹了出来,我看了下,数值是一串英文,译成中文就是声音,给人的第一感觉是安装什么硬件的,我考虑到我的计算机里已经有soundman了,往注册表信息上面一行看去,有 HKEY_LOCAL_MACHINE\SOFTWARE......\Run字眼,不用看完就知道是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 这个键值了,修改被我拒绝了,紧接着,又一个注册表修改跳了出来,我快速拒绝了,我认为修改注册表的可能性不会大,况且一插移动盘就修改注册表,这不得不让人觉得可疑。
    时间好象还没过一分钟,我发现任务栏里的绿色小雨伞消失了(9月15日升级,V18.44.42版本,这两天还没有升级呢),很明显被什么程序关闭,难道是移动盘在作怪么?我打开任务管理器,看到只剩3个瑞星杀软进程(RavMonD.exe,RavStub.exe,CCenter.exe。这三个进程的用户名是SYSTEM,从SYSTEM可以知道它是监视系统的进程),正常情况下是5个的(除了上面所说的三个进程外,还有RavMon.exe和RavTask.exe两个,而这两个进程的用户名就是当前用户,是负责监视当前用户的进程)。
    接着对移动盘进行一些dos操作(我懒得去掉“□隐藏受保护的操作系统文件(推荐)” 前面的勾,直接dir /a 了它,发现多了autorun.inf和sxs.exe文件,再type autorun.inf 了它,代码如下:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

    鼠标右键打开u盘,没有看到这两个可疑文件,显然是被隐藏且受保护,用attrib -s -r -h *.* /s 把它钓出水面,再看u盘,咦?!没有!!我试了三四次,没有用,还以为命令打错,于是乎试其它的文件,最后证明命令没有错(感觉遇到对手了),我再次对u盘dir了下,还是有autorun.inf和sxs.exe这两个东东!!
    没办法了,只好把“□隐藏受保护的操作系统文件(推荐)” 前面的勾去掉,果然看到这两个文件,鼠标选中这两个一删,删掉了,不到一秒钟,sxs.exe又冒了出来,我靠!这东东复活了,属性还是没变,对着u盘刷新一下,autorun.inf又冒了出来,简直是阴魂不散呀,接着给autorun.inf改名为:autoruna.inf(这里是随便改的),刚刚改完,又出现一个autorun.inf。
  现在开始怀疑是病毒或是木马了,想起瑞星防火墙有个“扫描木马病毒”功能,当我双击启动防火墙的时候,界面一闪而过,竟然无法启动!!早两天还升级到V18.44.40版本(防火墙正版,目前最新版本),郁闷的要死,我有点不服,运行木马杀客(9月15日更新,目前是最新版本),也无法启动,看来这个不知道是木马还是病毒的东西,把杀软和防火墙都给吃了,不简单啊!想起开始瑞星注册表监控的一幕,如果不把这两个文件干掉,等到下次重启电脑,后果就麻烦了,因此在关机前一定得把这个问题搞定。
    既然u盘里面这两个文件删了又复活,根据刚才处理的方法,还是有一定的收获的,那就是,autorun.inf文件是由sxs.exe产生的,那么就的从sxs.exe入手,确定sxs.exe的属性没有被设为只读,打开记事本,把sxs.exe拖进去,看到是一堆乱码,随便删掉里面的一些信息,然后保存,sxs.exe的图标变成未知图标(sxs.exe的源图标跟图片的图标是一样的,如果没注意看后缀,还以为是一张图片),可以说是被破坏了,接着修改autorun.inf里面的代码,然后保存,再刷新,sxs.exe没有产生,仍然是那个被破坏了的sxs.exe,至于autorun.inf,我没打开看,估计还是我修改后的那个autorun.inf,到了这里,大家可能认为大功告成了吧,当时我也是这么认为,当我把被破坏了的sxs.exe和autorun.inf删掉后,刷新一次,这两个文件再一次的复活。
    我忽然想起这么一个问题,有些病毒,特别是木马,采用的是双监控技术,说白了就是,当一个文件发现另外一个文件被删掉了,重新生成一个,或者是其中一个进程被结束,马上重新产生一个进程,结果是给查杀带来很大的困难。我打开其他的盘看了下,双击D盘的时候,打不开,倒是看到防火墙的界面一闪而过,就是刚开机时防火墙启动的那个画面,双击了两次都是这样,正常情况下竟然打不开,我马上意识到是怎么回事了,果然不出所料,单击鼠标右键,看到有“Auto”这一项,,再看E盘,F盘都有“Auto”,以“打开”的方式进入D盘,E盘,F盘,都发现有sxs.exe和autorun.inf,感染特别严重,跟u盘的情况一样,删了又复活,阴魂不散似的缠着硬盘不走,我打开注册表,没发现有木马或是病毒的踪影,而且瑞星杀软在注册表里面的信息也没有变,这点令我感到欣慰,不过到了这里,我可以肯定,这个木马病毒除了之前想试图修改注册表把自己设为下次自动运行之外,对注册表其他地方不做修改,只是删了杀毒软件的文件而已,这样达到自己不被查杀,够狡猾!
    既然排除了注册表的嫌疑,下面就从文件入手了,打开 C:\WINDOWS\system32目录,感染木马或是病毒,这个目录里一般都有它们的罪证,怎么看哪个文件有没有问题,这个好办,查看文件的创建时间和修改时间,我一找,发现有个叫“winscok.dll”的文件,创建时间和修改时间都是今天下午,其实system32目录下有个叫“winsock.dll”的文件,这个是系统文件,有些XP系统是不一样的,可能没有吧,反正我的有这个文件。  对着“winscok.dll”文件就删,系统提示无法删除,既然是这样,就先不理会它。
    在对移动硬盘采取各种措施后,包括结束explorer.exe进程,刷新注册表都没用,也许有人问,为什么不重启电脑,或是注销呢?原因很简单,既然这个木马病毒会修改注册表,重启电脑木马就会自动运行,引起一系列连锁反应,要想杀它就困难了,况且杀毒软件已经被停掉了,注销和重启差不多。
    根据病毒文件sxs.exe被破坏,而没有被重新释放出来,可以判断,肯定有一个程序在运行,而且这个程序实时都在检测sxs.exe有没有被删除,如果没有被删除,就不会释放具有感染能力的sxs.exe出来,如果被删除,就马上释放一个sxs.exe文件,既然相互监控,那就先搞定一个再说。        打开记事本,把sxs.exe拖进去改了它,破坏这个可执行程序(破坏程序后不要改名,否则会再生成一个sxs.exe),这样给另外一个负责监控它的程序留下个虚假的sxs.exe,每个盘的目录下都要这样修改,同时修改autorun.inf里的代码,保存退出。
    接下来就是查找另外一个木马文件,刚才我提到过,C:\WINDOWS\system32目录下的“winscok.dll”文件删不了,这个能说明什么呢,呵呵,出现这种问题的,大多数情况下就是任务管理器那里的问题了,打开任务管理器,发现了一个“SVCHOST”的进程(我记得都是大写的,字母大概是这些,后来发现它就把它给结束了,记得不是很清楚),我很清楚我的任务管理器里的svchost.exe进程,根本没有什么大写字母的,况且以前也看过中木马病毒的资料,那些木马进程有Svchost,svochost.exe,sv0chost.exe等等。
    结束SVCHOST”进程,删掉每个盘下的sxs.exe和autorun.inf,刷新一次,两次,没有再发现sxs.exe和autorun.inf这两个文件,通过 dir /a 命令查找,也没有它们的影子了,插入移动盘,删除sxs.exe和autorun.inf,再dir了一次,没发现复活。OK,一切恢复正常。
    拔出移动盘,重启电脑,登陆前发现只有防火墙的图标,没有瑞星杀毒的图标,进入正常界面后,时间只过了几秒钟,绿色小雨伞变成了红色的伞,鼠标移到上面,显示:所有监控已经被禁用,点击“开启所有监控”都没反应,无论是左键点击雨伞还是右键点击,发现少了很多功能,“详细设置”按钮变为灰色,好象还有一两项也是这样,看来杀毒软件的核心文件被之前的木马病毒给删除了,不过,启动瑞星防火墙和木马杀客就可以正常运行,这点说明了木马病毒已经被清除,想起之前删不了的 C:\WINDOWS\system32\winscok.dll 文件,重启后就可以删掉了,如果没猜错的话,“winscok.dll”文件应该是sxs.exe释放出来的,然后这两个文件相互监控,当然也不排除“SVCHOST”进程在发挥很大的作用,一旦“SVCHOST”被砍掉,某些文件在重启后自动消失(个人分析吧),由于没了“sxs.exe”文件,删掉“winscok.dll”文件就易如反掌。
    瑞星所有监控被禁用,接着修复瑞星,修复完毕后,系统提示重启,重启后还是所有监控被禁用,晕了!!    没办法,把瑞星卸载掉,重新安装瑞星,结果一切正常。当天晚上瑞星升级到 V18.45.02 版本,对系统进行一次检查,没发现任何病毒。

    大概过了十天这样吧,我在其他论坛上看到查杀sxs.exe病毒的,说是橙色八月病毒,想了想,有杀反病毒软件的功能,好象是这个病毒吧,他们说的杀毒方法跟我的有所不同,有的是在安全模式下删文件,但我却没有,我直接在正常模式下删,由于没有资料介绍怎么杀这个病毒的方法,完全得靠自己解决。他们说在system32目录下还有几个文件,不过那天我看了下system32文件夹,根据文件创建的时间,只发现“winscok.dll”这个动态链接库文件,*.exe和*.bat格式的文件我看了,没有,不过*.txt的我没去检查,呵呵。反正杀毒软件重新装过可以正常使用,而且系统又正常工作了,就OK了。



[此贴被 coolguy(coolguy) 在 10月08日14时02分 编辑过]

B3层 发表时间: 06-10-08 13:51

回复: Later [yaochi]   论坛用户   登录
看是否认置成隐藏的了。你到命令提示符下用
DIR -A AUTORUN.INI 试试

B4层 发表时间: 06-10-13 15:46

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号